--- /srv/rebuilderd/tmp/rebuilderdwkRdXs/inputs/ssg-debian_0.1.76-1_all.deb
+++ /srv/rebuilderd/tmp/rebuilderdwkRdXs/out/ssg-debian_0.1.76-1_all.deb
├── file list
│ @@ -1,3 +1,3 @@
│  -rw-r--r--   0        0        0        4 2025-03-01 08:08:00.000000 debian-binary
│  -rw-r--r--   0        0        0     1976 2025-03-01 08:08:00.000000 control.tar.xz
│ --rw-r--r--   0        0        0  1230284 2025-03-01 08:08:00.000000 data.tar.xz
│ +-rw-r--r--   0        0        0  1230456 2025-03-01 08:08:00.000000 data.tar.xz
├── control.tar.xz
│ ├── control.tar
│ │ ├── ./md5sums
│ │ │ ├── ./md5sums
│ │ │ │┄ Files differ
├── data.tar.xz
│ ├── data.tar
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-anssi_np_nt28_average.html
│ │ │ @@ -20653,179 +20653,179 @@
│ │ │  00050ac0: 6765 743d 2223 6964 6d35 3337 3622 2074  get="#idm5376" t
│ │ │  00050ad0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00050ae0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00050af0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00050b00: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00050b10: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00050b20: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00050b30: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -00050b40: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -00050b50: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00050b60: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00050b70: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00050b80: 646d 3533 3736 223e 3c70 7265 3e3c 636f  dm5376"><pre><co
│ │ │ -00050b90: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ -00050ba0: 0a6e 616d 6520 3d20 2273 7973 6c6f 672d  .name = "syslog-
│ │ │ -00050bb0: 6e67 220a 7665 7273 696f 6e20 3d20 222a  ng".version = "*
│ │ │ -00050bc0: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00050bd0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00050be0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00050bf0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00050c00: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00050c10: 6574 3d22 2369 646d 3533 3737 2220 7461  et="#idm5377" ta
│ │ │ -00050c20: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00050c30: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00050c40: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00050c50: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00050c60: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00050c70: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00050c80: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -00050c90: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00050ca0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00050cb0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00050cc0: 643d 2269 646d 3533 3737 223e 3c74 6162  d="idm5377"><tab
│ │ │ -00050cd0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00050ce0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00050cf0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00050d00: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00050d10: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00050d20: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00050d30: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00050d40: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00050d50: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00050d60: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00050d70: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00050d80: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00050d90: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00050da0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00050db0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00050dc0: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -00050dd0: 616c 6c5f 7379 736c 6f67 2d6e 670a 0a63  all_syslog-ng..c
│ │ │ -00050de0: 6c61 7373 2069 6e73 7461 6c6c 5f73 7973  lass install_sys
│ │ │ -00050df0: 6c6f 672d 6e67 207b 0a20 2070 6163 6b61  log-ng {.  packa
│ │ │ -00050e00: 6765 207b 2027 7379 736c 6f67 2d6e 6727  ge { 'syslog-ng'
│ │ │ -00050e10: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -00050e20: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ -00050e30: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00050e40: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00050e50: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00050e60: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00050e70: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00050e80: 7461 7267 6574 3d22 2369 646d 3533 3738  target="#idm5378
│ │ │ -00050e90: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00050ea0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00050eb0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00050ec0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00050ed0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00050ee0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00050ef0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00050f00: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00050f10: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00050f20: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00050f30: 7365 2220 6964 3d22 6964 6d35 3337 3822  se" id="idm5378"
│ │ │ -00050f40: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00050f50: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00050f60: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00050f70: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00050f80: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00050f90: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00050fa0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00050fb0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00050fc0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00050fd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00050fe0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00050ff0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00051000: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00051010: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00051020: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00051030: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00051040: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00051050: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00051060: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00051070: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00051080: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00051090: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -000510a0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -000510b0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -000510c0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -000510d0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -000510e0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -000510f0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00051100: 2020 2d20 7061 636b 6167 655f 7379 736c    - package_sysl
│ │ │ -00051110: 6f67 6e67 5f69 6e73 7461 6c6c 6564 0a0a  ogng_installed..
│ │ │ -00051120: 2d20 6e61 6d65 3a20 456e 7375 7265 2073  - name: Ensure s
│ │ │ -00051130: 7973 6c6f 672d 6e67 2069 7320 696e 7374  yslog-ng is inst
│ │ │ -00051140: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ -00051150: 0a20 2020 206e 616d 653a 2073 7973 6c6f  .    name: syslo
│ │ │ -00051160: 672d 6e67 0a20 2020 2073 7461 7465 3a20  g-ng.    state: 
│ │ │ -00051170: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -00051180: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00051190: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -000511a0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -000511b0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000511c0: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -000511d0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -000511e0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -000511f0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00051200: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00051210: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00051220: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00051230: 7061 636b 6167 655f 7379 736c 6f67 6e67  package_syslogng
│ │ │ -00051240: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ -00051250: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00051260: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00051270: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00051280: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00051290: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -000512a0: 6d35 3337 3922 2074 6162 696e 6465 783d  m5379" tabindex=
│ │ │ -000512b0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -000512c0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -000512d0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -000512e0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -000512f0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00051300: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -00051310: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -00051320: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00051330: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00051340: 6170 7365 2220 6964 3d22 6964 6d35 3337  apse" id="idm537
│ │ │ -00051350: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ -00051360: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00051370: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00051380: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00051390: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -000513a0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -000513b0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000513c0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -000513d0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000513e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -000513f0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00051400: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00051410: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00051420: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00051430: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00051440: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ -00051450: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ -00051460: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ -00051470: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ -00051480: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ -00051490: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ -000514a0: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ -000514b0: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ -000514c0: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ -000514d0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -000514e0: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ -000514f0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -00051500: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -00051510: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ -00051520: 202d 7920 2273 7973 6c6f 672d 6e67 220a   -y "syslog-ng".
│ │ │ -00051530: 0a65 6c73 650a 2020 2020 2667 743b 2661  .else.    &gt;&a
│ │ │ -00051540: 6d70 3b32 2065 6368 6f20 2752 656d 6564  mp;2 echo 'Remed
│ │ │ -00051550: 6961 7469 6f6e 2069 7320 6e6f 7420 6170  iation is not ap
│ │ │ -00051560: 706c 6963 6162 6c65 2c20 6e6f 7468 696e  plicable, nothin
│ │ │ -00051570: 6720 7761 7320 646f 6e65 270a 6669 0a3c  g was done'.fi.<
│ │ │ +00050b30: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00050b40: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00050b50: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00050b60: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00050b70: 2069 643d 2269 646d 3533 3736 223e 3c74   id="idm5376"><t
│ │ │ +00050b80: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00050b90: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00050ba0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00050bb0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00050bc0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00050bd0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00050be0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00050bf0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00050c00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00050c10: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00050c20: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00050c30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00050c40: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00050c50: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00050c60: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00050c70: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +00050c80: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +00050c90: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +00050ca0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +00050cb0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +00050cc0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00050cd0: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +00050ce0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00050cf0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00050d00: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00050d10: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00050d20: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00050d30: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00050d40: 2070 6163 6b61 6765 5f73 7973 6c6f 676e   package_syslogn
│ │ │ +00050d50: 675f 696e 7374 616c 6c65 640a 0a2d 206e  g_installed..- n
│ │ │ +00050d60: 616d 653a 2045 6e73 7572 6520 7379 736c  ame: Ensure sysl
│ │ │ +00050d70: 6f67 2d6e 6720 6973 2069 6e73 7461 6c6c  og-ng is install
│ │ │ +00050d80: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00050d90: 2020 6e61 6d65 3a20 7379 736c 6f67 2d6e    name: syslog-n
│ │ │ +00050da0: 670a 2020 2020 7374 6174 653a 2070 7265  g.    state: pre
│ │ │ +00050db0: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ +00050dc0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +00050dd0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00050de0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00050df0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00050e00: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +00050e10: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +00050e20: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00050e30: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00050e40: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +00050e50: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +00050e60: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00050e70: 6b61 6765 5f73 7973 6c6f 676e 675f 696e  kage_syslogng_in
│ │ │ +00050e80: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +00050e90: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00050ea0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00050eb0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00050ec0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00050ed0: 612d 7461 7267 6574 3d22 2369 646d 3533  a-target="#idm53
│ │ │ +00050ee0: 3737 2220 7461 6269 6e64 6578 3d22 3022  77" tabindex="0"
│ │ │ +00050ef0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00050f00: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00050f10: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00050f20: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00050f30: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00050f40: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +00050f50: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +00050f60: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00050f70: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00050f80: 6522 2069 643d 2269 646d 3533 3737 223e  e" id="idm5377">
│ │ │ +00050f90: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00050fa0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00050fb0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00050fc0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00050fd0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00050fe0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00050ff0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00051000: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00051010: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00051020: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00051030: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00051040: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00051050: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00051060: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00051070: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00051080: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ +00051090: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ +000510a0: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ +000510b0: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ +000510c0: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ +000510d0: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ +000510e0: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ +000510f0: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ +00051100: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ +00051110: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ +00051120: 7374 616c 6c65 643b 2074 6865 6e0a 0a44  stalled; then..D
│ │ │ +00051130: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +00051140: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +00051150: 742d 6765 7420 696e 7374 616c 6c20 2d79  t-get install -y
│ │ │ +00051160: 2022 7379 736c 6f67 2d6e 6722 0a0a 656c   "syslog-ng"..el
│ │ │ +00051170: 7365 0a20 2020 2026 6774 3b26 616d 703b  se.    &gt;&amp;
│ │ │ +00051180: 3220 6563 686f 2027 5265 6d65 6469 6174  2 echo 'Remediat
│ │ │ +00051190: 696f 6e20 6973 206e 6f74 2061 7070 6c69  ion is not appli
│ │ │ +000511a0: 6361 626c 652c 206e 6f74 6869 6e67 2077  cable, nothing w
│ │ │ +000511b0: 6173 2064 6f6e 6527 0a66 690a 3c2f 636f  as done'.fi.</co
│ │ │ +000511c0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +000511d0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +000511e0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +000511f0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00051200: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00051210: 646d 3533 3738 2220 7461 6269 6e64 6578  dm5378" tabindex
│ │ │ +00051220: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00051230: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00051240: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00051250: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00051260: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00051270: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00051280: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00051290: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +000512a0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000512b0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000512c0: 7365 2220 6964 3d22 6964 6d35 3337 3822  se" id="idm5378"
│ │ │ +000512d0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +000512e0: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +000512f0: 2022 7379 736c 6f67 2d6e 6722 0a76 6572   "syslog-ng".ver
│ │ │ +00051300: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ +00051310: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00051320: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00051330: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00051340: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00051350: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00051360: 6d35 3337 3922 2074 6162 696e 6465 783d  m5379" tabindex=
│ │ │ +00051370: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00051380: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00051390: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +000513a0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +000513b0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +000513c0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +000513d0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +000513e0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000513f0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00051400: 6c6c 6170 7365 2220 6964 3d22 6964 6d35  llapse" id="idm5
│ │ │ +00051410: 3337 3922 3e3c 7461 626c 6520 636c 6173  379"><table clas
│ │ │ +00051420: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00051430: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00051440: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00051450: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00051460: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00051470: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00051480: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00051490: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +000514a0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000514b0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +000514c0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +000514d0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +000514e0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +000514f0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00051500: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00051510: 6c75 6465 2069 6e73 7461 6c6c 5f73 7973  lude install_sys
│ │ │ +00051520: 6c6f 672d 6e67 0a0a 636c 6173 7320 696e  log-ng..class in
│ │ │ +00051530: 7374 616c 6c5f 7379 736c 6f67 2d6e 6720  stall_syslog-ng 
│ │ │ +00051540: 7b0a 2020 7061 636b 6167 6520 7b20 2773  {.  package { 's
│ │ │ +00051550: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ +00051560: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +00051570: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │  00051580: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00051590: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  000515a0: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  000515b0: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  000515c0: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  000515d0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  000515e0: 2e63 6f6e 7465 6e74 5f72 756c 655f 7365  .content_rule_se
│ │ │ @@ -21040,151 +21040,151 @@
│ │ │  000522f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00052300: 6964 6d35 3436 3322 2074 6162 696e 6465  idm5463" tabinde
│ │ │  00052310: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00052320: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  00052330: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00052340: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00052350: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00052360: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -00052370: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -00052380: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00052390: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -000523a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000523b0: 7073 6522 2069 643d 2269 646d 3534 3633  pse" id="idm5463
│ │ │ -000523c0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -000523d0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -000523e0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -000523f0: 3d20 5b22 7379 736c 6f67 2d6e 6722 5d0a  = ["syslog-ng"].
│ │ │ -00052400: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00052410: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00052420: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00052430: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00052440: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00052450: 3d22 2369 646d 3534 3634 2220 7461 6269  ="#idm5464" tabi
│ │ │ -00052460: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00052470: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00052480: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00052490: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000524a0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000524b0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -000524c0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -000524d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000524e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000524f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00052500: 2269 646d 3534 3634 223e 3c74 6162 6c65  "idm5464"><table
│ │ │ -00052510: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00052520: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00052530: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00052540: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00052550: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00052560: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00052570: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00052580: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00052590: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000525a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -000525b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -000525c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000525d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -000525e0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -000525f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00052600: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ -00052610: 5f73 7973 6c6f 672d 6e67 0a0a 636c 6173  _syslog-ng..clas
│ │ │ -00052620: 7320 656e 6162 6c65 5f73 7973 6c6f 672d  s enable_syslog-
│ │ │ -00052630: 6e67 207b 0a20 2073 6572 7669 6365 207b  ng {.  service {
│ │ │ -00052640: 2773 7973 6c6f 672d 6e67 273a 0a20 2020  'syslog-ng':.   
│ │ │ -00052650: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ -00052660: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ -00052670: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ -00052680: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00052690: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000526a0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -000526b0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -000526c0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -000526d0: 7461 7267 6574 3d22 2369 646d 3534 3635  target="#idm5465
│ │ │ -000526e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000526f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00052700: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00052710: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00052720: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00052730: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00052740: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00052750: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00052760: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00052770: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00052780: 7365 2220 6964 3d22 6964 6d35 3436 3522  se" id="idm5465"
│ │ │ -00052790: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -000527a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -000527b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -000527c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -000527d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -000527e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -000527f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00052800: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00052810: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00052820: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00052830: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00052840: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00052850: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00052860: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00052870: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00052880: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00052890: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -000528a0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -000528b0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -000528c0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -000528d0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -000528e0: 302d 3533 2d41 552d 3428 3129 0a20 202d  0-53-AU-4(1).  -
│ │ │ -000528f0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00052900: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -00052910: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00052920: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00052930: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00052940: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00052950: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00052960: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00052970: 6963 655f 7379 736c 6f67 6e67 5f65 6e61  ice_syslogng_ena
│ │ │ -00052980: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ -00052990: 6162 6c65 2073 7973 6c6f 672d 6e67 2053  able syslog-ng S
│ │ │ -000529a0: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ -000529b0: 7365 7276 6963 6520 7379 736c 6f67 2d6e  service syslog-n
│ │ │ -000529c0: 670a 2020 626c 6f63 6b3a 0a0a 2020 2d20  g.  block:..  - 
│ │ │ -000529d0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -000529e0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -000529f0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ -00052a00: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ -00052a10: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ -00052a20: 2045 6e61 626c 6520 7379 736c 6f67 2d6e   Enable syslog-n
│ │ │ -00052a30: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ -00052a40: 6c65 2053 6572 7669 6365 2073 7973 6c6f  le Service syslo
│ │ │ -00052a50: 672d 6e67 0a20 2020 2061 6e73 6962 6c65  g-ng.    ansible
│ │ │ -00052a60: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ -00052a70: 3a0a 2020 2020 2020 6e61 6d65 3a20 7379  :.      name: sy
│ │ │ -00052a80: 736c 6f67 2d6e 670a 2020 2020 2020 656e  slog-ng.      en
│ │ │ -00052a90: 6162 6c65 643a 2074 7275 650a 2020 2020  abled: true.    
│ │ │ -00052aa0: 2020 7374 6174 653a 2073 7461 7274 6564    state: started
│ │ │ -00052ab0: 0a20 2020 2020 206d 6173 6b65 643a 2066  .      masked: f
│ │ │ -00052ac0: 616c 7365 0a20 2020 2077 6865 6e3a 0a20  alse.    when:. 
│ │ │ -00052ad0: 2020 202d 2027 2273 7973 6c6f 672d 6e67     - '"syslog-ng
│ │ │ -00052ae0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00052af0: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ -00052b00: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00052b10: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00052b20: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00052b30: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00052b40: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ -00052b50: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00052b60: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -00052b70: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00052b80: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00052b90: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00052ba0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00052bb0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00052bc0: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ -00052bd0: 7669 6365 5f73 7973 6c6f 676e 675f 656e  vice_syslogng_en
│ │ │ -00052be0: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +00052360: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00052370: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00052380: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00052390: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000523a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000523b0: 646d 3534 3633 223e 3c74 6162 6c65 2063  dm5463"><table c
│ │ │ +000523c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000523d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000523e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000523f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00052400: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00052410: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00052420: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00052430: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00052440: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00052450: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00052460: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00052470: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00052480: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00052490: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000524a0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000524b0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +000524c0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +000524d0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +000524e0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +000524f0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00052500: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ +00052510: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00052520: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00052530: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00052540: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00052550: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00052560: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00052570: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00052580: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00052590: 202d 2073 6572 7669 6365 5f73 7973 6c6f   - service_syslo
│ │ │ +000525a0: 676e 675f 656e 6162 6c65 640a 0a2d 206e  gng_enabled..- n
│ │ │ +000525b0: 616d 653a 2045 6e61 626c 6520 7379 736c  ame: Enable sysl
│ │ │ +000525c0: 6f67 2d6e 6720 5365 7276 6963 6520 2d20  og-ng Service - 
│ │ │ +000525d0: 456e 6162 6c65 2073 6572 7669 6365 2073  Enable service s
│ │ │ +000525e0: 7973 6c6f 672d 6e67 0a20 2062 6c6f 636b  yslog-ng.  block
│ │ │ +000525f0: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +00052600: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00052610: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +00052620: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +00052630: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +00052640: 2d20 6e61 6d65 3a20 456e 6162 6c65 2073  - name: Enable s
│ │ │ +00052650: 7973 6c6f 672d 6e67 2053 6572 7669 6365  yslog-ng Service
│ │ │ +00052660: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ +00052670: 6520 7379 736c 6f67 2d6e 670a 2020 2020  e syslog-ng.    
│ │ │ +00052680: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ +00052690: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ +000526a0: 616d 653a 2073 7973 6c6f 672d 6e67 0a20  ame: syslog-ng. 
│ │ │ +000526b0: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ +000526c0: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ +000526d0: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ +000526e0: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ +000526f0: 7768 656e 3a0a 2020 2020 2d20 2722 7379  when:.    - '"sy
│ │ │ +00052700: 736c 6f67 2d6e 6722 2069 6e20 616e 7369  slog-ng" in ansi
│ │ │ +00052710: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00052720: 6573 270a 2020 7768 656e 3a20 2722 6c69  es'.  when: '"li
│ │ │ +00052730: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ +00052740: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +00052750: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +00052760: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00052770: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ +00052780: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00052790: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +000527a0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +000527b0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000527c0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +000527d0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +000527e0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +000527f0: 2020 2d20 7365 7276 6963 655f 7379 736c    - service_sysl
│ │ │ +00052800: 6f67 6e67 5f65 6e61 626c 6564 0a3c 2f63  ogng_enabled.</c
│ │ │ +00052810: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00052820: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00052830: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00052840: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00052850: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00052860: 6964 6d35 3436 3422 2074 6162 696e 6465  idm5464" tabinde
│ │ │ +00052870: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00052880: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00052890: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +000528a0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +000528b0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +000528c0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +000528d0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +000528e0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +000528f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00052900: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00052910: 7073 6522 2069 643d 2269 646d 3534 3634  pse" id="idm5464
│ │ │ +00052920: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +00052930: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +00052940: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +00052950: 3d20 5b22 7379 736c 6f67 2d6e 6722 5d0a  = ["syslog-ng"].
│ │ │ +00052960: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00052970: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00052980: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00052990: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +000529a0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000529b0: 3d22 2369 646d 3534 3635 2220 7461 6269  ="#idm5465" tabi
│ │ │ +000529c0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000529d0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000529e0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000529f0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00052a00: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00052a10: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00052a20: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00052a30: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00052a40: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00052a50: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00052a60: 2269 646d 3534 3635 223e 3c74 6162 6c65  "idm5465"><table
│ │ │ +00052a70: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00052a80: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00052a90: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00052aa0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00052ab0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00052ac0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00052ad0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00052ae0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00052af0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00052b00: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00052b10: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00052b20: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00052b30: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00052b40: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00052b50: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00052b60: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ +00052b70: 5f73 7973 6c6f 672d 6e67 0a0a 636c 6173  _syslog-ng..clas
│ │ │ +00052b80: 7320 656e 6162 6c65 5f73 7973 6c6f 672d  s enable_syslog-
│ │ │ +00052b90: 6e67 207b 0a20 2073 6572 7669 6365 207b  ng {.  service {
│ │ │ +00052ba0: 2773 7973 6c6f 672d 6e67 273a 0a20 2020  'syslog-ng':.   
│ │ │ +00052bb0: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ +00052bc0: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ +00052bd0: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ +00052be0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  00052bf0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  00052c00: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  00052c10: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00052c20: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  00052c30: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  00052c40: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  00052c50: 7275 6c65 5f70 6163 6b61 6765 5f72 7379  rule_package_rsy
│ │ │ @@ -21392,178 +21392,178 @@
│ │ │  000538f0: 7267 6574 3d22 2369 646d 3438 3337 2220  rget="#idm4837" 
│ │ │  00053900: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00053910: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00053920: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00053930: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00053940: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00053950: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00053960: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -00053970: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -00053980: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00053990: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -000539a0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -000539b0: 6964 6d34 3833 3722 3e3c 7072 653e 3c63  idm4837"><pre><c
│ │ │ -000539c0: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ -000539d0: 5d0a 6e61 6d65 203d 2022 7273 7973 6c6f  ].name = "rsyslo
│ │ │ -000539e0: 6722 0a76 6572 7369 6f6e 203d 2022 2a22  g".version = "*"
│ │ │ -000539f0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00053a00: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00053a10: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00053a20: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00053a30: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00053a40: 743d 2223 6964 6d34 3833 3822 2074 6162  t="#idm4838" tab
│ │ │ -00053a50: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00053a60: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00053a70: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00053a80: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00053a90: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00053aa0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -00053ab0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -00053ac0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00053ad0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00053ae0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00053af0: 3d22 6964 6d34 3833 3822 3e3c 7461 626c  ="idm4838"><tabl
│ │ │ -00053b00: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00053b10: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00053b20: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00053b30: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00053b40: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00053b50: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00053b60: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00053b70: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00053b80: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00053b90: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00053ba0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00053bb0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00053bc0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00053bd0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00053be0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00053bf0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ -00053c00: 6c6c 5f72 7379 736c 6f67 0a0a 636c 6173  ll_rsyslog..clas
│ │ │ -00053c10: 7320 696e 7374 616c 6c5f 7273 7973 6c6f  s install_rsyslo
│ │ │ -00053c20: 6720 7b0a 2020 7061 636b 6167 6520 7b20  g {.  package { 
│ │ │ -00053c30: 2772 7379 736c 6f67 273a 0a20 2020 2065  'rsyslog':.    e
│ │ │ -00053c40: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -00053c50: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -00053c60: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00053c70: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00053c80: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00053c90: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00053ca0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00053cb0: 2223 6964 6d34 3833 3922 2074 6162 696e  "#idm4839" tabin
│ │ │ -00053cc0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00053cd0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00053ce0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00053cf0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00053d00: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00053d10: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00053d20: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00053d30: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00053d40: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00053d50: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00053d60: 2269 646d 3438 3339 223e 3c74 6162 6c65  "idm4839"><table
│ │ │ -00053d70: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00053d80: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00053d90: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00053da0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00053db0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00053dc0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00053dd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00053de0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00053df0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00053e00: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00053e10: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00053e20: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00053e30: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -00053e40: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -00053e50: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00053e60: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ -00053e70: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -00053e80: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ -00053e90: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ -00053ea0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ -00053eb0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00053ec0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -00053ed0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00053ee0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00053ef0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00053f00: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00053f10: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00053f20: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00053f30: 6b61 6765 5f72 7379 736c 6f67 5f69 6e73  kage_rsyslog_ins
│ │ │ -00053f40: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -00053f50: 456e 7375 7265 2072 7379 736c 6f67 2069  Ensure rsyslog i
│ │ │ -00053f60: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -00053f70: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00053f80: 2072 7379 736c 6f67 0a20 2020 2073 7461   rsyslog.    sta
│ │ │ -00053f90: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ -00053fa0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ -00053fb0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00053fc0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -00053fd0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00053fe0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00053ff0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00054000: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00054010: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00054020: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00054030: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00054040: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00054050: 2020 2d20 7061 636b 6167 655f 7273 7973    - package_rsys
│ │ │ -00054060: 6c6f 675f 696e 7374 616c 6c65 640a 3c2f  log_installed.</
│ │ │ -00054070: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00054080: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00054090: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -000540a0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -000540b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -000540c0: 2369 646d 3438 3430 2220 7461 6269 6e64  #idm4840" tabind
│ │ │ -000540d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -000540e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -000540f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00054100: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00054110: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00054120: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -00054130: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -00054140: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00054150: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00054160: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00054170: 3438 3430 223e 3c74 6162 6c65 2063 6c61  4840"><table cla
│ │ │ -00054180: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00054190: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000541a0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000541b0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000541c0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000541d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000541e0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -000541f0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00054200: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00054210: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00054220: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00054230: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00054240: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00054250: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00054260: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ -00054270: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ -00054280: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ -00054290: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ -000542a0: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ -000542b0: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ -000542c0: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ -000542d0: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ -000542e0: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ -000542f0: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ -00054300: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ -00054310: 6865 6e0a 0a44 4542 4941 4e5f 4652 4f4e  hen..DEBIAN_FRON
│ │ │ -00054320: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -00054330: 6976 6520 6170 742d 6765 7420 696e 7374  ive apt-get inst
│ │ │ -00054340: 616c 6c20 2d79 2022 7273 7973 6c6f 6722  all -y "rsyslog"
│ │ │ -00054350: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ -00054360: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ -00054370: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ -00054380: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ -00054390: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +00053960: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00053970: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00053980: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00053990: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +000539a0: 2220 6964 3d22 6964 6d34 3833 3722 3e3c  " id="idm4837"><
│ │ │ +000539b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +000539c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000539d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000539e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000539f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00053a00: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00053a10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053a20: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00053a30: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00053a40: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00053a50: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00053a60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053a70: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00053a80: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00053a90: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00053aa0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +00053ab0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +00053ac0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +00053ad0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +00053ae0: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +00053af0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00053b00: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ +00053b10: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +00053b20: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00053b30: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00053b40: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +00053b50: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +00053b60: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00053b70: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ +00053b80: 675f 696e 7374 616c 6c65 640a 0a2d 206e  g_installed..- n
│ │ │ +00053b90: 616d 653a 2045 6e73 7572 6520 7273 7973  ame: Ensure rsys
│ │ │ +00053ba0: 6c6f 6720 6973 2069 6e73 7461 6c6c 6564  log is installed
│ │ │ +00053bb0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00053bc0: 6e61 6d65 3a20 7273 7973 6c6f 670a 2020  name: rsyslog.  
│ │ │ +00053bd0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +00053be0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +00053bf0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +00053c00: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +00053c10: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ +00053c20: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00053c30: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00053c40: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00053c50: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00053c60: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00053c70: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00053c80: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00053c90: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00053ca0: 5f72 7379 736c 6f67 5f69 6e73 7461 6c6c  _rsyslog_install
│ │ │ +00053cb0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00053cc0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00053cd0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00053ce0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00053cf0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00053d00: 6765 743d 2223 6964 6d34 3833 3822 2074  get="#idm4838" t
│ │ │ +00053d10: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00053d20: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00053d30: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00053d40: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00053d50: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00053d60: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00053d70: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +00053d80: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00053d90: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00053da0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00053db0: 3d22 6964 6d34 3833 3822 3e3c 7461 626c  ="idm4838"><tabl
│ │ │ +00053dc0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00053dd0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00053de0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00053df0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00053e00: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00053e10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00053e20: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00053e30: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00053e40: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00053e50: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00053e60: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00053e70: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00053e80: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00053e90: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00053ea0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00053eb0: 6465 3e23 2052 656d 6564 6961 7469 6f6e  de># Remediation
│ │ │ +00053ec0: 2069 7320 6170 706c 6963 6162 6c65 206f   is applicable o
│ │ │ +00053ed0: 6e6c 7920 696e 2063 6572 7461 696e 2070  nly in certain p
│ │ │ +00053ee0: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67  latforms.if dpkg
│ │ │ +00053ef0: 2d71 7565 7279 202d 2d73 686f 7720 2d2d  -query --show --
│ │ │ +00053f00: 7368 6f77 666f 726d 6174 3d27 247b 6462  showformat='${db
│ │ │ +00053f10: 3a53 7461 7475 732d 5374 6174 7573 7d0a  :Status-Status}.
│ │ │ +00053f20: 2720 276c 696e 7578 2d62 6173 6527 2032  ' 'linux-base' 2
│ │ │ +00053f30: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20  &gt;/dev/null | 
│ │ │ +00053f40: 6772 6570 202d 7120 5e69 6e73 7461 6c6c  grep -q ^install
│ │ │ +00053f50: 6564 3b20 7468 656e 0a0a 4445 4249 414e  ed; then..DEBIAN
│ │ │ +00053f60: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ +00053f70: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ +00053f80: 2069 6e73 7461 6c6c 202d 7920 2272 7379   install -y "rsy
│ │ │ +00053f90: 736c 6f67 220a 0a65 6c73 650a 2020 2020  slog"..else.    
│ │ │ +00053fa0: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ +00053fb0: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ +00053fc0: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ +00053fd0: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ +00053fe0: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +00053ff0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00054000: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00054010: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00054020: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00054030: 6172 6765 743d 2223 6964 6d34 3833 3922  arget="#idm4839"
│ │ │ +00054040: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00054050: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00054060: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00054070: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00054080: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00054090: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +000540a0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +000540b0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +000540c0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000540d0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000540e0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000540f0: 2269 646d 3438 3339 223e 3c70 7265 3e3c  "idm4839"><pre><
│ │ │ +00054100: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ +00054110: 5d5d 0a6e 616d 6520 3d20 2272 7379 736c  ]].name = "rsysl
│ │ │ +00054120: 6f67 220a 7665 7273 696f 6e20 3d20 222a  og".version = "*
│ │ │ +00054130: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +00054140: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00054150: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00054160: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00054170: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00054180: 6574 3d22 2369 646d 3438 3430 2220 7461  et="#idm4840" ta
│ │ │ +00054190: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +000541a0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +000541b0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +000541c0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +000541d0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +000541e0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +000541f0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00054200: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00054210: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00054220: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00054230: 643d 2269 646d 3438 3430 223e 3c74 6162  d="idm4840"><tab
│ │ │ +00054240: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00054250: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00054260: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00054270: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00054280: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00054290: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000542a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000542b0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000542c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000542d0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000542e0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000542f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00054300: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00054310: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00054320: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00054330: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ +00054340: 616c 6c5f 7273 7973 6c6f 670a 0a63 6c61  all_rsyslog..cla
│ │ │ +00054350: 7373 2069 6e73 7461 6c6c 5f72 7379 736c  ss install_rsysl
│ │ │ +00054360: 6f67 207b 0a20 2070 6163 6b61 6765 207b  og {.  package {
│ │ │ +00054370: 2027 7273 7973 6c6f 6727 3a0a 2020 2020   'rsyslog':.    
│ │ │ +00054380: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ +00054390: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │  000543a0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  000543b0: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  000543c0: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  000543d0: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  000543e0: 2064 6174 612d 7474 2d69 643d 2278 6363   data-tt-id="xcc
│ │ │  000543f0: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  00054400: 742e 636f 6e74 656e 745f 7275 6c65 5f73  t.content_rule_s
│ │ │ @@ -21792,150 +21792,150 @@
│ │ │  000551f0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00055200: 2223 6964 6d34 3932 3322 2074 6162 696e  "#idm4923" tabin
│ │ │  00055210: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00055220: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00055230: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00055240: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00055250: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00055260: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -00055270: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -00055280: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00055290: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000552a0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000552b0: 6c61 7073 6522 2069 643d 2269 646d 3439  lapse" id="idm49
│ │ │ -000552c0: 3233 223e 3c70 7265 3e3c 636f 6465 3e0a  23"><pre><code>.
│ │ │ -000552d0: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ -000552e0: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ -000552f0: 6420 3d20 5b22 7273 7973 6c6f 6722 5d0a  d = ["rsyslog"].
│ │ │ -00055300: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00055310: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00055320: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00055330: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00055340: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00055350: 3d22 2369 646d 3439 3234 2220 7461 6269  ="#idm4924" tabi
│ │ │ -00055360: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00055370: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00055380: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00055390: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000553a0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000553b0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -000553c0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -000553d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000553e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000553f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00055400: 2269 646d 3439 3234 223e 3c74 6162 6c65  "idm4924"><table
│ │ │ -00055410: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00055420: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00055430: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00055440: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00055450: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00055460: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00055470: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00055480: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00055490: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000554a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -000554b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -000554c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000554d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -000554e0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -000554f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00055500: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ -00055510: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ -00055520: 656e 6162 6c65 5f72 7379 736c 6f67 207b  enable_rsyslog {
│ │ │ -00055530: 0a20 2073 6572 7669 6365 207b 2772 7379  .  service {'rsy
│ │ │ -00055540: 736c 6f67 273a 0a20 2020 2065 6e61 626c  slog':.    enabl
│ │ │ -00055550: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ -00055560: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00055570: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ -00055580: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00055590: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -000555a0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -000555b0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -000555c0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -000555d0: 3d22 2369 646d 3439 3235 2220 7461 6269  ="#idm4925" tabi
│ │ │ -000555e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -000555f0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00055600: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00055610: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00055620: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00055630: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00055640: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00055650: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00055660: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00055670: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00055680: 3d22 6964 6d34 3932 3522 3e3c 7461 626c  ="idm4925"><tabl
│ │ │ -00055690: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -000556a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -000556b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -000556c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -000556d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -000556e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000556f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00055700: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00055710: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00055720: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00055730: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00055740: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00055750: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00055760: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00055770: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00055780: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00055790: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -000557a0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -000557b0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -000557c0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -000557d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -000557e0: 552d 3428 3129 0a20 202d 204e 4953 542d  U-4(1).  - NIST-
│ │ │ -000557f0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00055800: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00055810: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00055820: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00055830: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00055840: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00055850: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00055860: 640a 2020 2d20 7365 7276 6963 655f 7273  d.  - service_rs
│ │ │ -00055870: 7973 6c6f 675f 656e 6162 6c65 640a 0a2d  yslog_enabled..-
│ │ │ -00055880: 206e 616d 653a 2045 6e61 626c 6520 7273   name: Enable rs
│ │ │ -00055890: 7973 6c6f 6720 5365 7276 6963 6520 2d20  yslog Service - 
│ │ │ -000558a0: 456e 6162 6c65 2073 6572 7669 6365 2072  Enable service r
│ │ │ -000558b0: 7379 736c 6f67 0a20 2062 6c6f 636b 3a0a  syslog.  block:.
│ │ │ -000558c0: 0a20 202d 206e 616d 653a 2047 6174 6865  .  - name: Gathe
│ │ │ -000558d0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -000558e0: 6374 730a 2020 2020 7061 636b 6167 655f  cts.    package_
│ │ │ -000558f0: 6661 6374 733a 0a20 2020 2020 206d 616e  facts:.      man
│ │ │ -00055900: 6167 6572 3a20 6175 746f 0a0a 2020 2d20  ager: auto..  - 
│ │ │ -00055910: 6e61 6d65 3a20 456e 6162 6c65 2072 7379  name: Enable rsy
│ │ │ -00055920: 736c 6f67 2053 6572 7669 6365 202d 2045  slog Service - E
│ │ │ -00055930: 6e61 626c 6520 5365 7276 6963 6520 7273  nable Service rs
│ │ │ -00055940: 7973 6c6f 670a 2020 2020 616e 7369 626c  yslog.    ansibl
│ │ │ -00055950: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ -00055960: 643a 0a20 2020 2020 206e 616d 653a 2072  d:.      name: r
│ │ │ -00055970: 7379 736c 6f67 0a20 2020 2020 2065 6e61  syslog.      ena
│ │ │ -00055980: 626c 6564 3a20 7472 7565 0a20 2020 2020  bled: true.     
│ │ │ -00055990: 2073 7461 7465 3a20 7374 6172 7465 640a   state: started.
│ │ │ -000559a0: 2020 2020 2020 6d61 736b 6564 3a20 6661        masked: fa
│ │ │ -000559b0: 6c73 650a 2020 2020 7768 656e 3a0a 2020  lse.    when:.  
│ │ │ -000559c0: 2020 2d20 2722 7273 7973 6c6f 6722 2069    - '"rsyslog" i
│ │ │ -000559d0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -000559e0: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ -000559f0: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00055a00: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00055a10: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00055a20: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00055a30: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -00055a40: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00055a50: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -00055a60: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00055a70: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00055a80: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00055a90: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -00055aa0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00055ab0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -00055ac0: 655f 7273 7973 6c6f 675f 656e 6162 6c65  e_rsyslog_enable
│ │ │ -00055ad0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00055260: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00055270: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00055280: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00055290: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000552a0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000552b0: 2269 646d 3439 3233 223e 3c74 6162 6c65  "idm4923"><table
│ │ │ +000552c0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000552d0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000552e0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000552f0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00055300: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00055310: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00055320: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00055330: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00055340: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00055350: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00055360: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00055370: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00055380: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00055390: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000553a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000553b0: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +000553c0: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +000553d0: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +000553e0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +000553f0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00055400: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00055410: 2d34 2831 290a 2020 2d20 4e49 5354 2d38  -4(1).  - NIST-8
│ │ │ +00055420: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00055430: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00055440: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00055450: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00055460: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00055470: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00055480: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00055490: 0a20 202d 2073 6572 7669 6365 5f72 7379  .  - service_rsy
│ │ │ +000554a0: 736c 6f67 5f65 6e61 626c 6564 0a0a 2d20  slog_enabled..- 
│ │ │ +000554b0: 6e61 6d65 3a20 456e 6162 6c65 2072 7379  name: Enable rsy
│ │ │ +000554c0: 736c 6f67 2053 6572 7669 6365 202d 2045  slog Service - E
│ │ │ +000554d0: 6e61 626c 6520 7365 7276 6963 6520 7273  nable service rs
│ │ │ +000554e0: 7973 6c6f 670a 2020 626c 6f63 6b3a 0a0a  yslog.  block:..
│ │ │ +000554f0: 2020 2d20 6e61 6d65 3a20 4761 7468 6572    - name: Gather
│ │ │ +00055500: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00055510: 7473 0a20 2020 2070 6163 6b61 6765 5f66  ts.    package_f
│ │ │ +00055520: 6163 7473 3a0a 2020 2020 2020 6d61 6e61  acts:.      mana
│ │ │ +00055530: 6765 723a 2061 7574 6f0a 0a20 202d 206e  ger: auto..  - n
│ │ │ +00055540: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ +00055550: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ +00055560: 6162 6c65 2053 6572 7669 6365 2072 7379  able Service rsy
│ │ │ +00055570: 736c 6f67 0a20 2020 2061 6e73 6962 6c65  slog.    ansible
│ │ │ +00055580: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ +00055590: 3a0a 2020 2020 2020 6e61 6d65 3a20 7273  :.      name: rs
│ │ │ +000555a0: 7973 6c6f 670a 2020 2020 2020 656e 6162  yslog.      enab
│ │ │ +000555b0: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ +000555c0: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ +000555d0: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ +000555e0: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ +000555f0: 202d 2027 2272 7379 736c 6f67 2220 696e   - '"rsyslog" in
│ │ │ +00055600: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00055610: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ +00055620: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +00055630: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00055640: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00055650: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00055660: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +00055670: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00055680: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00055690: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +000556a0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +000556b0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +000556c0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +000556d0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +000556e0: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +000556f0: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ +00055700: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00055710: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00055720: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00055730: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00055740: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00055750: 743d 2223 6964 6d34 3932 3422 2074 6162  t="#idm4924" tab
│ │ │ +00055760: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00055770: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00055780: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00055790: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000557a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000557b0: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +000557c0: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +000557d0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000557e0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000557f0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00055800: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00055810: 3439 3234 223e 3c70 7265 3e3c 636f 6465  4924"><pre><code
│ │ │ +00055820: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +00055830: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +00055840: 6c65 6420 3d20 5b22 7273 7973 6c6f 6722  led = ["rsyslog"
│ │ │ +00055850: 5d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ].</code></pre><
│ │ │ +00055860: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00055870: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00055880: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00055890: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +000558a0: 6574 3d22 2369 646d 3439 3235 2220 7461  et="#idm4925" ta
│ │ │ +000558b0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +000558c0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +000558d0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +000558e0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +000558f0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00055900: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00055910: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00055920: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00055930: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00055940: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00055950: 643d 2269 646d 3439 3235 223e 3c74 6162  d="idm4925"><tab
│ │ │ +00055960: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00055970: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00055980: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00055990: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +000559a0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +000559b0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000559c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000559d0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000559e0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000559f0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00055a00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00055a10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00055a20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00055a30: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00055a40: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00055a50: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ +00055a60: 6c65 5f72 7379 736c 6f67 0a0a 636c 6173  le_rsyslog..clas
│ │ │ +00055a70: 7320 656e 6162 6c65 5f72 7379 736c 6f67  s enable_rsyslog
│ │ │ +00055a80: 207b 0a20 2073 6572 7669 6365 207b 2772   {.  service {'r
│ │ │ +00055a90: 7379 736c 6f67 273a 0a20 2020 2065 6e61  syslog':.    ena
│ │ │ +00055aa0: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ +00055ab0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00055ac0: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ +00055ad0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00055ae0: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00055af0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00055b00: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00055b10: 7472 2064 6174 612d 7474 2d69 643d 2263  tr data-tt-id="c
│ │ │  00055b20: 6869 6c64 7265 6e2d 7863 6364 665f 6f72  hildren-xccdf_or
│ │ │  00055b30: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  00055b40: 7465 6e74 5f67 726f 7570 5f70 6572 6d69  tent_group_permi
│ │ │ @@ -29842,146 +29842,146 @@
│ │ │  00074910: 6172 6765 743d 2223 6964 6d39 3732 3622  arget="#idm9726"
│ │ │  00074920: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00074930: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00074940: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00074950: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00074960: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00074970: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00074980: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00074990: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000749a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -000749b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -000749c0: 2220 6964 3d22 6964 6d39 3732 3622 3e3c  " id="idm9726"><
│ │ │ -000749d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -000749e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000749f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00074a00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00074a10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00074a20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00074a30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00074a40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00074a50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00074a60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00074a70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00074a80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00074a90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00074aa0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00074ab0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00074ac0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00074ad0: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ -00074ae0: 2d74 656c 6e65 7464 0a0a 636c 6173 7320  -telnetd..class 
│ │ │ -00074af0: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ -00074b00: 2d74 656c 6e65 7464 207b 0a20 2070 6163  -telnetd {.  pac
│ │ │ -00074b10: 6b61 6765 207b 2027 696e 6574 7574 696c  kage { 'inetutil
│ │ │ -00074b20: 732d 7465 6c6e 6574 6427 3a0a 2020 2020  s-telnetd':.    
│ │ │ -00074b30: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -00074b40: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -00074b50: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00074b60: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00074b70: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00074b80: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00074b90: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00074ba0: 6964 6d39 3732 3722 2074 6162 696e 6465  idm9727" tabinde
│ │ │ -00074bb0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00074bc0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00074bd0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00074be0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00074bf0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00074c00: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00074c10: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00074c20: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00074c30: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00074c40: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00074c50: 646d 3937 3237 223e 3c74 6162 6c65 2063  dm9727"><table c
│ │ │ -00074c60: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00074c70: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00074c80: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00074c90: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00074ca0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00074cb0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00074cc0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00074cd0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00074ce0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00074cf0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00074d00: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00074d10: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00074d20: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00074d30: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00074d40: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00074d50: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00074d60: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00074d70: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00074d80: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00074d90: 3a20 696e 6574 7574 696c 732d 7465 6c6e  : inetutils-teln
│ │ │ -00074da0: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00074db0: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00074dc0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00074dd0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00074de0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00074df0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00074e00: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00074e10: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00074e20: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00074e30: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00074e40: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00074e50: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00074e60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00074e70: 6167 655f 696e 6574 7574 696c 732d 7465  age_inetutils-te
│ │ │ -00074e80: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ -00074e90: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00074ea0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00074eb0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00074ec0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00074ed0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00074ee0: 2369 646d 3937 3238 2220 7461 6269 6e64  #idm9728" tabind
│ │ │ -00074ef0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00074f00: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00074f10: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00074f20: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00074f30: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00074f40: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -00074f50: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -00074f60: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00074f70: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00074f80: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00074f90: 3937 3238 223e 3c74 6162 6c65 2063 6c61  9728"><table cla
│ │ │ -00074fa0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00074fb0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00074fc0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00074fd0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00074fe0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00074ff0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00075000: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00075010: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00075020: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00075030: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00075040: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00075050: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00075060: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00075070: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00075080: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ -00075090: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ -000750a0: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ -000750b0: 7074 2077 696c 6c20 7265 6d6f 7665 2069  pt will remove i
│ │ │ -000750c0: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -000750d0: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ -000750e0: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ -000750f0: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ -00075100: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ -00075110: 656e 6420 6f6e 2069 6e65 7475 7469 6c73  end on inetutils
│ │ │ -00075120: 2d74 656c 6e65 7464 2e20 4578 6563 7574  -telnetd. Execut
│ │ │ -00075130: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ -00075140: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ -00075150: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ -00075160: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ -00075170: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ -00075180: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -00075190: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ -000751a0: 656d 6f76 6520 2d79 2022 696e 6574 7574  emove -y "inetut
│ │ │ -000751b0: 696c 732d 7465 6c6e 6574 6422 0a3c 2f63  ils-telnetd".</c
│ │ │ +00074980: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00074990: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000749a0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000749b0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000749c0: 6522 2069 643d 2269 646d 3937 3236 223e  e" id="idm9726">
│ │ │ +000749d0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000749e0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000749f0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00074a00: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00074a10: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00074a20: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00074a30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00074a40: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00074a50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00074a60: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00074a70: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00074a80: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00074a90: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00074aa0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00074ab0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00074ac0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00074ad0: 2045 6e73 7572 6520 696e 6574 7574 696c   Ensure inetutil
│ │ │ +00074ae0: 732d 7465 6c6e 6574 6420 6973 2072 656d  s-telnetd is rem
│ │ │ +00074af0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +00074b00: 2020 2020 6e61 6d65 3a20 696e 6574 7574      name: inetut
│ │ │ +00074b10: 696c 732d 7465 6c6e 6574 640a 2020 2020  ils-telnetd.    
│ │ │ +00074b20: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +00074b30: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +00074b40: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00074b50: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00074b60: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +00074b70: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +00074b80: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +00074b90: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +00074ba0: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +00074bb0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00074bc0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00074bd0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00074be0: 2020 2d20 7061 636b 6167 655f 696e 6574    - package_inet
│ │ │ +00074bf0: 7574 696c 732d 7465 6c6e 6574 645f 7265  utils-telnetd_re
│ │ │ +00074c00: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +00074c10: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00074c20: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00074c30: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00074c40: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00074c50: 7461 7267 6574 3d22 2369 646d 3937 3237  target="#idm9727
│ │ │ +00074c60: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00074c70: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00074c80: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00074c90: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00074ca0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00074cb0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00074cc0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +00074cd0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00074ce0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00074cf0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00074d00: 2069 643d 2269 646d 3937 3237 223e 3c74   id="idm9727"><t
│ │ │ +00074d10: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00074d20: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00074d30: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00074d40: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00074d50: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00074d60: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00074d70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00074d80: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00074d90: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00074da0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00074db0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00074dc0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00074dd0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00074de0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00074df0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00074e00: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ +00074e10: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +00074e20: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +00074e30: 7265 6d6f 7665 2069 6e65 7475 7469 6c73  remove inetutils
│ │ │ +00074e40: 2d74 656c 6e65 7464 0a23 0920 2020 6672  -telnetd.#.   fr
│ │ │ +00074e50: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +00074e60: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +00074e70: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +00074e80: 7468 6174 2064 6570 656e 6420 6f6e 2069  that depend on i
│ │ │ +00074e90: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ +00074ea0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00074eb0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00074ec0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +00074ed0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +00074ee0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +00074ef0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00074f00: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00074f10: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00074f20: 2022 696e 6574 7574 696c 732d 7465 6c6e   "inetutils-teln
│ │ │ +00074f30: 6574 6422 0a3c 2f63 6f64 653e 3c2f 7072  etd".</code></pr
│ │ │ +00074f40: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00074f50: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00074f60: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00074f70: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00074f80: 6172 6765 743d 2223 6964 6d39 3732 3822  arget="#idm9728"
│ │ │ +00074f90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00074fa0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00074fb0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00074fc0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00074fd0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00074fe0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00074ff0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00075000: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00075010: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00075020: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00075030: 2220 6964 3d22 6964 6d39 3732 3822 3e3c  " id="idm9728"><
│ │ │ +00075040: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00075050: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00075060: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00075070: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00075080: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00075090: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +000750a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000750b0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +000750c0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000750d0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +000750e0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +000750f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00075100: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00075110: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00075120: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00075130: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00075140: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ +00075150: 2d74 656c 6e65 7464 0a0a 636c 6173 7320  -telnetd..class 
│ │ │ +00075160: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ +00075170: 2d74 656c 6e65 7464 207b 0a20 2070 6163  -telnetd {.  pac
│ │ │ +00075180: 6b61 6765 207b 2027 696e 6574 7574 696c  kage { 'inetutil
│ │ │ +00075190: 732d 7465 6c6e 6574 6427 3a0a 2020 2020  s-telnetd':.    
│ │ │ +000751a0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +000751b0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  000751c0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  000751d0: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  000751e0: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  000751f0: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  00075200: 7461 2d74 742d 6964 3d22 7863 6364 665f  ta-tt-id="xccdf_
│ │ │  00075210: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  00075220: 6f6e 7465 6e74 5f72 756c 655f 7061 636b  ontent_rule_pack
│ │ │ @@ -30076,134 +30076,134 @@
│ │ │  000757b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  000757c0: 6964 6d39 3733 3522 2074 6162 696e 6465  idm9735" tabinde
│ │ │  000757d0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  000757e0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  000757f0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00075800: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00075810: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00075820: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00075830: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00075840: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00075850: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00075860: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00075870: 6d39 3733 3522 3e3c 7461 626c 6520 636c  m9735"><table cl
│ │ │ -00075880: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00075890: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000758a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000758b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -000758c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -000758d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -000758e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000758f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00075900: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00075910: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00075920: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00075930: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00075940: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00075950: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00075960: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00075970: 696e 636c 7564 6520 7265 6d6f 7665 5f6e  include remove_n
│ │ │ -00075980: 6973 0a0a 636c 6173 7320 7265 6d6f 7665  is..class remove
│ │ │ -00075990: 5f6e 6973 207b 0a20 2070 6163 6b61 6765  _nis {.  package
│ │ │ -000759a0: 207b 2027 6e69 7327 3a0a 2020 2020 656e   { 'nis':.    en
│ │ │ -000759b0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -000759c0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -000759d0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -000759e0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -000759f0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00075a00: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00075a10: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00075a20: 6d39 3733 3622 2074 6162 696e 6465 783d  m9736" tabindex=
│ │ │ -00075a30: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00075a40: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00075a50: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00075a60: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00075a70: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00075a80: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00075a90: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00075aa0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00075ab0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00075ac0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00075ad0: 3937 3336 223e 3c74 6162 6c65 2063 6c61  9736"><table cla
│ │ │ -00075ae0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00075af0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00075b00: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00075b10: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00075b20: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00075b30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00075b40: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00075b50: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00075b60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00075b70: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00075b80: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00075b90: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00075ba0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00075bb0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00075bc0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00075bd0: 206e 616d 653a 2045 6e73 7572 6520 6e69   name: Ensure ni
│ │ │ -00075be0: 7320 6973 2072 656d 6f76 6564 0a20 2070  s is removed.  p
│ │ │ -00075bf0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00075c00: 3a20 6e69 730a 2020 2020 7374 6174 653a  : nis.    state:
│ │ │ -00075c10: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -00075c20: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00075c30: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00075c40: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00075c50: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -00075c60: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -00075c70: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00075c80: 0a20 202d 2070 6163 6b61 6765 5f6e 6973  .  - package_nis
│ │ │ -00075c90: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -00075ca0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00075cb0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00075cc0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00075cd0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00075ce0: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00075cf0: 3733 3722 2074 6162 696e 6465 783d 2230  737" tabindex="0
│ │ │ -00075d00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00075d10: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00075d20: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00075d30: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00075d40: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00075d50: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -00075d60: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -00075d70: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00075d80: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00075d90: 7365 2220 6964 3d22 6964 6d39 3733 3722  se" id="idm9737"
│ │ │ -00075da0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00075db0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00075dc0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00075dd0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00075de0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00075df0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00075e00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00075e10: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00075e20: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00075e30: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00075e40: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00075e50: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00075e60: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00075e70: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00075e80: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00075e90: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -00075ea0: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -00075eb0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -00075ec0: 6c6c 2072 656d 6f76 6520 6e69 730a 2309  ll remove nis.#.
│ │ │ -00075ed0: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ -00075ee0: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ -00075ef0: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ -00075f00: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ -00075f10: 206f 6e20 6e69 732e 2045 7865 6375 7465   on nis. Execute
│ │ │ -00075f20: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ -00075f30: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ -00075f40: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ -00075f50: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ -00075f60: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ -00075f70: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -00075f80: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ -00075f90: 6d6f 7665 202d 7920 226e 6973 220a 3c2f  move -y "nis".</
│ │ │ +00075820: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00075830: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00075840: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00075850: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00075860: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00075870: 646d 3937 3335 223e 3c74 6162 6c65 2063  dm9735"><table c
│ │ │ +00075880: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00075890: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000758a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000758b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000758c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000758d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000758e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000758f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00075900: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00075910: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00075920: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00075930: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00075940: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00075950: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00075960: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00075970: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +00075980: 6e69 7320 6973 2072 656d 6f76 6564 0a20  nis is removed. 
│ │ │ +00075990: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +000759a0: 6d65 3a20 6e69 730a 2020 2020 7374 6174  me: nis.    stat
│ │ │ +000759b0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +000759c0: 3a0a 2020 2d20 6469 7361 626c 655f 7374  :.  - disable_st
│ │ │ +000759d0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +000759e0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +000759f0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00075a00: 206c 6f77 5f73 6576 6572 6974 790a 2020   low_severity.  
│ │ │ +00075a10: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00075a20: 6564 0a20 202d 2070 6163 6b61 6765 5f6e  ed.  - package_n
│ │ │ +00075a30: 6973 5f72 656d 6f76 6564 0a3c 2f63 6f64  is_removed.</cod
│ │ │ +00075a40: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00075a50: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00075a60: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00075a70: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00075a80: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00075a90: 6d39 3733 3622 2074 6162 696e 6465 783d  m9736" tabindex=
│ │ │ +00075aa0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00075ab0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00075ac0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00075ad0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00075ae0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00075af0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +00075b00: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +00075b10: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00075b20: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00075b30: 6170 7365 2220 6964 3d22 6964 6d39 3733  apse" id="idm973
│ │ │ +00075b40: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +00075b50: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00075b60: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00075b70: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00075b80: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00075b90: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00075ba0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00075bb0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00075bc0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00075bd0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00075be0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00075bf0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00075c00: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00075c10: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00075c20: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00075c30: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ +00075c40: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ +00075c50: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ +00075c60: 7769 6c6c 2072 656d 6f76 6520 6e69 730a  will remove nis.
│ │ │ +00075c70: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +00075c80: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +00075c90: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +00075ca0: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +00075cb0: 6e64 206f 6e20 6e69 732e 2045 7865 6375  nd on nis. Execu
│ │ │ +00075cc0: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ +00075cd0: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ +00075ce0: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ +00075cf0: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ +00075d00: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ +00075d10: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +00075d20: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +00075d30: 7265 6d6f 7665 202d 7920 226e 6973 220a  remove -y "nis".
│ │ │ +00075d40: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00075d50: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00075d60: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00075d70: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00075d80: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00075d90: 3d22 2369 646d 3937 3337 2220 7461 6269  ="#idm9737" tabi
│ │ │ +00075da0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00075db0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00075dc0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00075dd0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00075de0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00075df0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00075e00: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00075e10: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00075e20: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00075e30: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00075e40: 2269 646d 3937 3337 223e 3c74 6162 6c65  "idm9737"><table
│ │ │ +00075e50: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00075e60: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00075e70: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00075e80: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00075e90: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00075ea0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00075eb0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00075ec0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00075ed0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00075ee0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00075ef0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00075f00: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00075f10: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00075f20: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00075f30: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00075f40: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00075f50: 655f 6e69 730a 0a63 6c61 7373 2072 656d  e_nis..class rem
│ │ │ +00075f60: 6f76 655f 6e69 7320 7b0a 2020 7061 636b  ove_nis {.  pack
│ │ │ +00075f70: 6167 6520 7b20 276e 6973 273a 0a20 2020  age { 'nis':.   
│ │ │ +00075f80: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00075f90: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00075fa0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00075fb0: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  00075fc0: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  00075fd0: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  00075fe0: 6174 612d 7474 2d69 643d 2278 6363 6466  ata-tt-id="xccdf
│ │ │  00075ff0: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  00076000: 636f 6e74 656e 745f 7275 6c65 5f70 6163  content_rule_pac
│ │ │ @@ -30299,137 +30299,137 @@
│ │ │  000765a0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  000765b0: 2223 6964 6d39 3734 3422 2074 6162 696e  "#idm9744" tabin
│ │ │  000765c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  000765d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  000765e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  000765f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00076600: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00076610: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00076620: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00076630: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00076640: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00076650: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00076660: 6964 6d39 3734 3422 3e3c 7461 626c 6520  idm9744"><table 
│ │ │ -00076670: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00076680: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00076690: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -000766a0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -000766b0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -000766c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000766d0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -000766e0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000766f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00076700: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00076710: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00076720: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00076730: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00076740: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00076750: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00076760: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -00076770: 5f6e 7470 6461 7465 0a0a 636c 6173 7320  _ntpdate..class 
│ │ │ -00076780: 7265 6d6f 7665 5f6e 7470 6461 7465 207b  remove_ntpdate {
│ │ │ -00076790: 0a20 2070 6163 6b61 6765 207b 2027 6e74  .  package { 'nt
│ │ │ -000767a0: 7064 6174 6527 3a0a 2020 2020 656e 7375  pdate':.    ensu
│ │ │ -000767b0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -000767c0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -000767d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -000767e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000767f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00076800: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00076810: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00076820: 3734 3522 2074 6162 696e 6465 783d 2230  745" tabindex="0
│ │ │ -00076830: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00076840: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00076850: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00076860: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00076870: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00076880: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00076890: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -000768a0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000768b0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000768c0: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ -000768d0: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ -000768e0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -000768f0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00076900: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00076910: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00076920: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00076930: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00076940: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00076950: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00076960: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00076970: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00076980: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00076990: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -000769a0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -000769b0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -000769c0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -000769d0: 616d 653a 2045 6e73 7572 6520 6e74 7064  ame: Ensure ntpd
│ │ │ -000769e0: 6174 6520 6973 2072 656d 6f76 6564 0a20  ate is removed. 
│ │ │ -000769f0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -00076a00: 6d65 3a20 6e74 7064 6174 650a 2020 2020  me: ntpdate.    
│ │ │ -00076a10: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -00076a20: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ -00076a30: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00076a40: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00076a50: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00076a60: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ -00076a70: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00076a80: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00076a90: 6765 5f6e 7470 6461 7465 5f72 656d 6f76  ge_ntpdate_remov
│ │ │ -00076aa0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -00076ab0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00076ac0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00076ad0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00076ae0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00076af0: 6765 743d 2223 6964 6d39 3734 3622 2074  get="#idm9746" t
│ │ │ -00076b00: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00076b10: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00076b20: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00076b30: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00076b40: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00076b50: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00076b60: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -00076b70: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00076b80: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00076b90: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00076ba0: 3d22 6964 6d39 3734 3622 3e3c 7461 626c  ="idm9746"><tabl
│ │ │ -00076bb0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00076bc0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00076bd0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00076be0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00076bf0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00076c00: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00076c10: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00076c20: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00076c30: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00076c40: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00076c50: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00076c60: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00076c70: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00076c80: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00076c90: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00076ca0: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -00076cb0: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -00076cc0: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -00076cd0: 6f76 6520 6e74 7064 6174 650a 2309 2020  ove ntpdate.#.  
│ │ │ -00076ce0: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -00076cf0: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -00076d00: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -00076d10: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -00076d20: 6e20 6e74 7064 6174 652e 2045 7865 6375  n ntpdate. Execu
│ │ │ -00076d30: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ -00076d40: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ -00076d50: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ -00076d60: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ -00076d70: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ -00076d80: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -00076d90: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -00076da0: 7265 6d6f 7665 202d 7920 226e 7470 6461  remove -y "ntpda
│ │ │ -00076db0: 7465 220a 3c2f 636f 6465 3e3c 2f70 7265  te".</code></pre
│ │ │ +00076610: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00076620: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00076630: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00076640: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00076650: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00076660: 2269 646d 3937 3434 223e 3c74 6162 6c65  "idm9744"><table
│ │ │ +00076670: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00076680: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00076690: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000766a0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000766b0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000766c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000766d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +000766e0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000766f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00076700: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00076710: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00076720: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00076730: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00076740: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00076750: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00076760: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +00076770: 6520 6e74 7064 6174 6520 6973 2072 656d  e ntpdate is rem
│ │ │ +00076780: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +00076790: 2020 2020 6e61 6d65 3a20 6e74 7064 6174      name: ntpdat
│ │ │ +000767a0: 650a 2020 2020 7374 6174 653a 2061 6273  e.    state: abs
│ │ │ +000767b0: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +000767c0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +000767d0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +000767e0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000767f0: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ +00076800: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00076810: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00076820: 2070 6163 6b61 6765 5f6e 7470 6461 7465   package_ntpdate
│ │ │ +00076830: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00076840: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00076850: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00076860: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00076870: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00076880: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +00076890: 3734 3522 2074 6162 696e 6465 783d 2230  745" tabindex="0
│ │ │ +000768a0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +000768b0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +000768c0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +000768d0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +000768e0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000768f0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +00076900: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +00076910: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00076920: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00076930: 7365 2220 6964 3d22 6964 6d39 3734 3522  se" id="idm9745"
│ │ │ +00076940: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00076950: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00076960: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00076970: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00076980: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00076990: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000769a0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000769b0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +000769c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000769d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000769e0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +000769f0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00076a00: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00076a10: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00076a20: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00076a30: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ +00076a40: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ +00076a50: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ +00076a60: 6c6c 2072 656d 6f76 6520 6e74 7064 6174  ll remove ntpdat
│ │ │ +00076a70: 650a 2309 2020 2066 726f 6d20 7468 6520  e.#.   from the 
│ │ │ +00076a80: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ +00076a90: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ +00076aa0: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ +00076ab0: 7065 6e64 206f 6e20 6e74 7064 6174 652e  pend on ntpdate.
│ │ │ +00076ac0: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ +00076ad0: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ +00076ae0: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ +00076af0: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ +00076b00: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ +00076b10: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +00076b20: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +00076b30: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ +00076b40: 226e 7470 6461 7465 220a 3c2f 636f 6465  "ntpdate".</code
│ │ │ +00076b50: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00076b60: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00076b70: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00076b80: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00076b90: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00076ba0: 3937 3436 2220 7461 6269 6e64 6578 3d22  9746" tabindex="
│ │ │ +00076bb0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00076bc0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00076bd0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00076be0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00076bf0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00076c00: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +00076c10: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00076c20: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00076c30: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00076c40: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ +00076c50: 3436 223e 3c74 6162 6c65 2063 6c61 7373  46"><table class
│ │ │ +00076c60: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00076c70: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00076c80: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00076c90: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00076ca0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00076cb0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00076cc0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00076cd0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00076ce0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00076cf0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00076d00: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00076d10: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00076d20: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00076d30: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00076d40: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00076d50: 6c75 6465 2072 656d 6f76 655f 6e74 7064  lude remove_ntpd
│ │ │ +00076d60: 6174 650a 0a63 6c61 7373 2072 656d 6f76  ate..class remov
│ │ │ +00076d70: 655f 6e74 7064 6174 6520 7b0a 2020 7061  e_ntpdate {.  pa
│ │ │ +00076d80: 636b 6167 6520 7b20 276e 7470 6461 7465  ckage { 'ntpdate
│ │ │ +00076d90: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00076da0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00076db0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00076dc0: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  00076dd0: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  00076de0: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  00076df0: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  00076e00: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  00076e10: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  00076e20: 6c65 5f70 6163 6b61 6765 5f74 656c 6e65  le_package_telne
│ │ │ @@ -30641,143 +30641,143 @@
│ │ │  00077b00: 6765 743d 2223 6964 6d39 3834 3522 2074  get="#idm9845" t
│ │ │  00077b10: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00077b20: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00077b30: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00077b40: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00077b50: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00077b60: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00077b70: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00077b80: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00077b90: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00077ba0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00077bb0: 6964 3d22 6964 6d39 3834 3522 3e3c 7461  id="idm9845"><ta
│ │ │ -00077bc0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00077bd0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00077be0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00077bf0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00077c00: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00077c10: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00077c20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00077c30: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00077c40: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077c50: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00077c60: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00077c70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00077c80: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00077c90: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00077ca0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00077cb0: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -00077cc0: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ -00077cd0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ -00077ce0: 656c 6e65 7464 2d73 736c 207b 0a20 2070  elnetd-ssl {.  p
│ │ │ -00077cf0: 6163 6b61 6765 207b 2027 7465 6c6e 6574  ackage { 'telnet
│ │ │ -00077d00: 642d 7373 6c27 3a0a 2020 2020 656e 7375  d-ssl':.    ensu
│ │ │ -00077d10: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00077d20: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00077d30: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077d40: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077d50: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077d60: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077d70: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00077d80: 3834 3622 2074 6162 696e 6465 783d 2230  846" tabindex="0
│ │ │ -00077d90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00077da0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00077db0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00077dc0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00077dd0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00077de0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00077df0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00077e00: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00077e10: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00077e20: 6c61 7073 6522 2069 643d 2269 646d 3938  lapse" id="idm98
│ │ │ -00077e30: 3436 223e 3c74 6162 6c65 2063 6c61 7373  46"><table class
│ │ │ -00077e40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00077e50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00077e60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00077e70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00077e80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00077e90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00077ea0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00077eb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00077ec0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00077ed0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00077ee0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00077ef0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00077f00: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00077f10: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00077f20: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00077f30: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ -00077f40: 6574 642d 7373 6c20 6973 2072 656d 6f76  etd-ssl is remov
│ │ │ -00077f50: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00077f60: 2020 6e61 6d65 3a20 7465 6c6e 6574 642d    name: telnetd-
│ │ │ -00077f70: 7373 6c0a 2020 2020 7374 6174 653a 2061  ssl.    state: a
│ │ │ -00077f80: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00077f90: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00077fa0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00077fb0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00077fc0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00077fd0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00077fe0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00077ff0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00078000: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00078010: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00078020: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00078030: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00078040: 6167 655f 7465 6c6e 6574 642d 7373 6c5f  age_telnetd-ssl_
│ │ │ -00078050: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -00078060: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00078070: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00078080: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00078090: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000780a0: 612d 7461 7267 6574 3d22 2369 646d 3938  a-target="#idm98
│ │ │ -000780b0: 3437 2220 7461 6269 6e64 6578 3d22 3022  47" tabindex="0"
│ │ │ -000780c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -000780d0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -000780e0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -000780f0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00078100: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00078110: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -00078120: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -00078130: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00078140: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00078150: 6522 2069 643d 2269 646d 3938 3437 223e  e" id="idm9847">
│ │ │ -00078160: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00078170: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00078180: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00078190: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -000781a0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -000781b0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -000781c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000781d0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -000781e0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000781f0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00078200: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00078210: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00078220: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00078230: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00078240: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00078250: 7265 3e3c 636f 6465 3e0a 2320 4341 5554  re><code>.# CAUT
│ │ │ -00078260: 494f 4e3a 2054 6869 7320 7265 6d65 6469  ION: This remedi
│ │ │ -00078270: 6174 696f 6e20 7363 7269 7074 2077 696c  ation script wil
│ │ │ -00078280: 6c20 7265 6d6f 7665 2074 656c 6e65 7464  l remove telnetd
│ │ │ -00078290: 2d73 736c 0a23 0920 2020 6672 6f6d 2074  -ssl.#.   from t
│ │ │ -000782a0: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ -000782b0: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ -000782c0: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ -000782d0: 2064 6570 656e 6420 6f6e 2074 656c 6e65   depend on telne
│ │ │ -000782e0: 7464 2d73 736c 2e20 4578 6563 7574 6520  td-ssl. Execute 
│ │ │ -000782f0: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ -00078300: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ -00078310: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ -00078320: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ -00078330: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ -00078340: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -00078350: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ -00078360: 6f76 6520 2d79 2022 7465 6c6e 6574 642d  ove -y "telnetd-
│ │ │ -00078370: 7373 6c22 0a3c 2f63 6f64 653e 3c2f 7072  ssl".</code></pr
│ │ │ +00077b70: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00077b80: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00077b90: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00077ba0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00077bb0: 2069 643d 2269 646d 3938 3435 223e 3c74   id="idm9845"><t
│ │ │ +00077bc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00077bd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00077be0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00077bf0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00077c00: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00077c10: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00077c20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00077c30: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00077c40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00077c50: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00077c60: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00077c70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00077c80: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00077c90: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00077ca0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00077cb0: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +00077cc0: 6e73 7572 6520 7465 6c6e 6574 642d 7373  nsure telnetd-ss
│ │ │ +00077cd0: 6c20 6973 2072 656d 6f76 6564 0a20 2070  l is removed.  p
│ │ │ +00077ce0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +00077cf0: 3a20 7465 6c6e 6574 642d 7373 6c0a 2020  : telnetd-ssl.  
│ │ │ +00077d00: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00077d10: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00077d20: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00077d30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00077d40: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ +00077d50: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ +00077d60: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00077d70: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +00077d80: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +00077d90: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00077da0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00077db0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00077dc0: 640a 2020 2d20 7061 636b 6167 655f 7465  d.  - package_te
│ │ │ +00077dd0: 6c6e 6574 642d 7373 6c5f 7265 6d6f 7665  lnetd-ssl_remove
│ │ │ +00077de0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00077df0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00077e00: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00077e10: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00077e20: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00077e30: 6574 3d22 2369 646d 3938 3436 2220 7461  et="#idm9846" ta
│ │ │ +00077e40: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00077e50: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00077e60: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00077e70: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00077e80: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00077e90: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00077ea0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ +00077eb0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00077ec0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00077ed0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00077ee0: 2269 646d 3938 3436 223e 3c74 6162 6c65  "idm9846"><table
│ │ │ +00077ef0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00077f00: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00077f10: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00077f20: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00077f30: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00077f40: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00077f50: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00077f60: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00077f70: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00077f80: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00077f90: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00077fa0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00077fb0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00077fc0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00077fd0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00077fe0: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ +00077ff0: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ +00078000: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ +00078010: 7665 2074 656c 6e65 7464 2d73 736c 0a23  ve telnetd-ssl.#
│ │ │ +00078020: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +00078030: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +00078040: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +00078050: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +00078060: 6420 6f6e 2074 656c 6e65 7464 2d73 736c  d on telnetd-ssl
│ │ │ +00078070: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00078080: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00078090: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +000780a0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +000780b0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +000780c0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +000780d0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +000780e0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +000780f0: 2022 7465 6c6e 6574 642d 7373 6c22 0a3c   "telnetd-ssl".<
│ │ │ +00078100: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00078110: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00078120: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00078130: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00078140: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00078150: 2223 6964 6d39 3834 3722 2074 6162 696e  "#idm9847" tabin
│ │ │ +00078160: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00078170: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00078180: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00078190: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000781a0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000781b0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +000781c0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +000781d0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +000781e0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +000781f0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00078200: 6964 6d39 3834 3722 3e3c 7461 626c 6520  idm9847"><table 
│ │ │ +00078210: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00078220: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00078230: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00078240: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00078250: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00078260: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00078270: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00078280: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00078290: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000782a0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000782b0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000782c0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +000782d0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +000782e0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +000782f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00078300: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +00078310: 5f74 656c 6e65 7464 2d73 736c 0a0a 636c  _telnetd-ssl..cl
│ │ │ +00078320: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ +00078330: 7464 2d73 736c 207b 0a20 2070 6163 6b61  td-ssl {.  packa
│ │ │ +00078340: 6765 207b 2027 7465 6c6e 6574 642d 7373  ge { 'telnetd-ss
│ │ │ +00078350: 6c27 3a0a 2020 2020 656e 7375 7265 203d  l':.    ensure =
│ │ │ +00078360: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ +00078370: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  00078380: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  00078390: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  000783a0: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  000783b0: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  000783c0: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  000783d0: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  000783e0: 756c 655f 7061 636b 6167 655f 7465 6c6e  ule_package_teln
│ │ │ @@ -30988,141 +30988,141 @@
│ │ │  000790b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  000790c0: 646d 3939 3435 2220 7461 6269 6e64 6578  dm9945" tabindex
│ │ │  000790d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  000790e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  000790f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00079100: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00079110: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00079120: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00079130: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00079140: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00079150: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00079160: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00079170: 3939 3435 223e 3c74 6162 6c65 2063 6c61  9945"><table cla
│ │ │ -00079180: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00079190: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000791a0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000791b0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000791c0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000791d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000791e0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -000791f0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00079200: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00079210: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00079220: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00079230: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00079240: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00079250: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00079260: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -00079270: 6e63 6c75 6465 2072 656d 6f76 655f 7465  nclude remove_te
│ │ │ -00079280: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ -00079290: 6f76 655f 7465 6c6e 6574 6420 7b0a 2020  ove_telnetd {.  
│ │ │ -000792a0: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ -000792b0: 7464 273a 0a20 2020 2065 6e73 7572 6520  td':.    ensure 
│ │ │ -000792c0: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -000792d0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -000792e0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000792f0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00079300: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00079310: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00079320: 7461 7267 6574 3d22 2369 646d 3939 3436  target="#idm9946
│ │ │ -00079330: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00079340: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00079350: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00079360: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00079370: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00079380: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00079390: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -000793a0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000793b0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000793c0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000793d0: 7365 2220 6964 3d22 6964 6d39 3934 3622  se" id="idm9946"
│ │ │ -000793e0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -000793f0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00079400: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00079410: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00079420: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00079430: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00079440: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00079450: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00079460: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00079470: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00079480: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00079490: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000794a0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -000794b0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -000794c0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000794d0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -000794e0: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ -000794f0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -00079500: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00079510: 2074 656c 6e65 7464 0a20 2020 2073 7461   telnetd.    sta
│ │ │ -00079520: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -00079530: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00079540: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00079550: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00079560: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00079570: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ -00079580: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -00079590: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -000795a0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000795b0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000795c0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -000795d0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000795e0: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ -000795f0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -00079600: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00079610: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00079620: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00079630: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00079640: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00079650: 3934 3722 2074 6162 696e 6465 783d 2230  947" tabindex="0
│ │ │ -00079660: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00079670: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00079680: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00079690: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -000796a0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -000796b0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -000796c0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -000796d0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000796e0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000796f0: 7365 2220 6964 3d22 6964 6d39 3934 3722  se" id="idm9947"
│ │ │ -00079700: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00079710: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00079720: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00079730: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00079740: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00079750: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00079760: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00079770: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00079780: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00079790: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -000797a0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -000797b0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000797c0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -000797d0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -000797e0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000797f0: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -00079800: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -00079810: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -00079820: 6c6c 2072 656d 6f76 6520 7465 6c6e 6574  ll remove telnet
│ │ │ -00079830: 640a 2309 2020 2066 726f 6d20 7468 6520  d.#.   from the 
│ │ │ -00079840: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ -00079850: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ -00079860: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ -00079870: 7065 6e64 206f 6e20 7465 6c6e 6574 642e  pend on telnetd.
│ │ │ -00079880: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -00079890: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -000798a0: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -000798b0: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -000798c0: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -000798d0: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -000798e0: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -000798f0: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -00079900: 2274 656c 6e65 7464 220a 3c2f 636f 6465  "telnetd".</code
│ │ │ +00079120: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00079130: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00079140: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00079150: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00079160: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00079170: 6d39 3934 3522 3e3c 7461 626c 6520 636c  m9945"><table cl
│ │ │ +00079180: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00079190: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000791a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000791b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000791c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000791d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000791e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000791f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00079200: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00079210: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00079220: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00079230: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00079240: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00079250: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00079260: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00079270: 2d20 6e61 6d65 3a20 456e 7375 7265 2074  - name: Ensure t
│ │ │ +00079280: 656c 6e65 7464 2069 7320 7265 6d6f 7665  elnetd is remove
│ │ │ +00079290: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +000792a0: 206e 616d 653a 2074 656c 6e65 7464 0a20   name: telnetd. 
│ │ │ +000792b0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +000792c0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +000792d0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +000792e0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +000792f0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +00079300: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +00079310: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00079320: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +00079330: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00079340: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00079350: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00079360: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00079370: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ +00079380: 656c 6e65 7464 5f72 656d 6f76 6564 0a3c  elnetd_removed.<
│ │ │ +00079390: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +000793a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +000793b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +000793c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000793d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000793e0: 2223 6964 6d39 3934 3622 2074 6162 696e  "#idm9946" tabin
│ │ │ +000793f0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00079400: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00079410: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00079420: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00079430: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00079440: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +00079450: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +00079460: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00079470: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00079480: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00079490: 6d39 3934 3622 3e3c 7461 626c 6520 636c  m9946"><table cl
│ │ │ +000794a0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +000794b0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000794c0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000794d0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000794e0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000794f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00079500: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00079510: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00079520: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00079530: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00079540: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00079550: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00079560: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00079570: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00079580: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00079590: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ +000795a0: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ +000795b0: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ +000795c0: 7465 6c6e 6574 640a 2309 2020 2066 726f  telnetd.#.   fro
│ │ │ +000795d0: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ +000795e0: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ +000795f0: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ +00079600: 6861 7420 6465 7065 6e64 206f 6e20 7465  hat depend on te
│ │ │ +00079610: 6c6e 6574 642e 2045 7865 6375 7465 2074  lnetd. Execute t
│ │ │ +00079620: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ +00079630: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ +00079640: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ +00079650: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ +00079660: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ +00079670: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +00079680: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ +00079690: 7665 202d 7920 2274 656c 6e65 7464 220a  ve -y "telnetd".
│ │ │ +000796a0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000796b0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000796c0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000796d0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +000796e0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000796f0: 3d22 2369 646d 3939 3437 2220 7461 6269  ="#idm9947" tabi
│ │ │ +00079700: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00079710: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00079720: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00079730: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00079740: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00079750: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00079760: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00079770: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00079780: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00079790: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000797a0: 2269 646d 3939 3437 223e 3c74 6162 6c65  "idm9947"><table
│ │ │ +000797b0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000797c0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000797d0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000797e0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000797f0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00079800: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00079810: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00079820: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00079830: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00079840: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00079850: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00079860: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00079870: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00079880: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00079890: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000798a0: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +000798b0: 655f 7465 6c6e 6574 640a 0a63 6c61 7373  e_telnetd..class
│ │ │ +000798c0: 2072 656d 6f76 655f 7465 6c6e 6574 6420   remove_telnetd 
│ │ │ +000798d0: 7b0a 2020 7061 636b 6167 6520 7b20 2774  {.  package { 't
│ │ │ +000798e0: 656c 6e65 7464 273a 0a20 2020 2065 6e73  elnetd':.    ens
│ │ │ +000798f0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +00079900: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  00079910: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  00079920: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  00079930: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  00079940: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  00079950: 7474 2d69 643d 2263 6869 6c64 7265 6e2d  tt-id="children-
│ │ │  00079960: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  00079970: 6a65 6374 2e63 6f6e 7465 6e74 5f67 726f  ject.content_gro
│ │ │ @@ -31570,179 +31570,179 @@
│ │ │  0007b510: 6574 3d22 2369 646d 3130 3333 3122 2074  et="#idm10331" t
│ │ │  0007b520: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0007b530: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0007b540: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0007b550: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0007b560: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0007b570: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007b580: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -0007b590: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -0007b5a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007b5b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007b5c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007b5d0: 646d 3130 3333 3122 3e3c 7072 653e 3c63  dm10331"><pre><c
│ │ │ -0007b5e0: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ -0007b5f0: 5d0a 6e61 6d65 203d 2022 6e74 7022 0a76  ].name = "ntp".v
│ │ │ -0007b600: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -0007b610: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0007b620: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0007b630: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0007b640: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0007b650: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0007b660: 6964 6d31 3033 3332 2220 7461 6269 6e64  idm10332" tabind
│ │ │ -0007b670: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0007b680: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0007b690: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0007b6a0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0007b6b0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0007b6c0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0007b6d0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0007b6e0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007b6f0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007b700: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007b710: 646d 3130 3333 3222 3e3c 7461 626c 6520  dm10332"><table 
│ │ │ -0007b720: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0007b730: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0007b740: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0007b750: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0007b760: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0007b770: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007b780: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0007b790: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0007b7a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007b7b0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0007b7c0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0007b7d0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0007b7e0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0007b7f0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007b800: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007b810: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0007b820: 5f6e 7470 0a0a 636c 6173 7320 696e 7374  _ntp..class inst
│ │ │ -0007b830: 616c 6c5f 6e74 7020 7b0a 2020 7061 636b  all_ntp {.  pack
│ │ │ -0007b840: 6167 6520 7b20 276e 7470 273a 0a20 2020  age { 'ntp':.   
│ │ │ -0007b850: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -0007b860: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -0007b870: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0007b880: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0007b890: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0007b8a0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0007b8b0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0007b8c0: 743d 2223 6964 6d31 3033 3333 2220 7461  t="#idm10333" ta
│ │ │ -0007b8d0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0007b8e0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0007b8f0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0007b900: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0007b910: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0007b920: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007b930: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -0007b940: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0007b950: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0007b960: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0007b970: 6964 3d22 6964 6d31 3033 3333 223e 3c74  id="idm10333"><t
│ │ │ -0007b980: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007b990: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007b9a0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007b9b0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007b9c0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007b9d0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007b9e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007b9f0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007ba00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007ba10: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007ba20: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007ba30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ba40: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007ba50: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0007ba60: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0007ba70: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -0007ba80: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -0007ba90: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -0007baa0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -0007bab0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -0007bac0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0007bad0: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -0007bae0: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -0007baf0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -0007bb00: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ -0007bb10: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ -0007bb20: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0007bb30: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -0007bb40: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0007bb50: 2020 2d20 7061 636b 6167 655f 6e74 705f    - package_ntp_
│ │ │ -0007bb60: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -0007bb70: 653a 2045 6e73 7572 6520 6e74 7020 6973  e: Ensure ntp is
│ │ │ -0007bb80: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -0007bb90: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0007bba0: 6e74 700a 2020 2020 7374 6174 653a 2070  ntp.    state: p
│ │ │ -0007bbb0: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ -0007bbc0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0007bbd0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0007bbe0: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -0007bbf0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007bc00: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0007bc10: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ -0007bc20: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0007bc30: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -0007bc40: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -0007bc50: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0007bc60: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -0007bc70: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0007bc80: 2d20 7061 636b 6167 655f 6e74 705f 696e  - package_ntp_in
│ │ │ -0007bc90: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ -0007bca0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0007bcb0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0007bcc0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0007bcd0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0007bce0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -0007bcf0: 3333 3422 2074 6162 696e 6465 783d 2230  334" tabindex="0
│ │ │ -0007bd00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0007bd10: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0007bd20: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0007bd30: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0007bd40: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007bd50: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0007bd60: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0007bd70: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0007bd80: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0007bd90: 7365 2220 6964 3d22 6964 6d31 3033 3334  se" id="idm10334
│ │ │ -0007bda0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0007bdb0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0007bdc0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0007bdd0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0007bde0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0007bdf0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0007be00: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007be10: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0007be20: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0007be30: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0007be40: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0007be50: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0007be60: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0007be70: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -0007be80: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0007be90: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -0007bea0: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -0007beb0: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -0007bec0: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -0007bed0: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ -0007bee0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ -0007bef0: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ -0007bf00: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ -0007bf10: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ -0007bf20: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ -0007bf30: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ -0007bf40: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -0007bf50: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -0007bf60: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ -0007bf70: 2d79 2022 6e74 7022 0a0a 656c 7365 0a20  -y "ntp"..else. 
│ │ │ -0007bf80: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ -0007bf90: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ -0007bfa0: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ -0007bfb0: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ -0007bfc0: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +0007b580: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0007b590: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0007b5a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0007b5b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0007b5c0: 2069 643d 2269 646d 3130 3333 3122 3e3c   id="idm10331"><
│ │ │ +0007b5d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0007b5e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0007b5f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0007b600: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0007b610: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0007b620: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0007b630: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007b640: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0007b650: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0007b660: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0007b670: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0007b680: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007b690: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0007b6a0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0007b6b0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007b6c0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +0007b6d0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +0007b6e0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +0007b6f0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +0007b700: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +0007b710: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0007b720: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +0007b730: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ +0007b740: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +0007b750: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +0007b760: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +0007b770: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0007b780: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0007b790: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0007b7a0: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ +0007b7b0: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ +0007b7c0: 6d65 3a20 456e 7375 7265 206e 7470 2069  me: Ensure ntp i
│ │ │ +0007b7d0: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ +0007b7e0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0007b7f0: 206e 7470 0a20 2020 2073 7461 7465 3a20   ntp.    state: 
│ │ │ +0007b800: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ +0007b810: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +0007b820: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +0007b830: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +0007b840: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007b850: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +0007b860: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ +0007b870: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0007b880: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +0007b890: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +0007b8a0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0007b8b0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +0007b8c0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0007b8d0: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ +0007b8e0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0007b8f0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007b900: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007b910: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007b920: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007b930: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0007b940: 3033 3332 2220 7461 6269 6e64 6578 3d22  0332" tabindex="
│ │ │ +0007b950: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007b960: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007b970: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007b980: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007b990: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007b9a0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +0007b9b0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +0007b9c0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0007b9d0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0007b9e0: 7073 6522 2069 643d 2269 646d 3130 3333  pse" id="idm1033
│ │ │ +0007b9f0: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ +0007ba00: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0007ba10: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0007ba20: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0007ba30: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0007ba40: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0007ba50: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007ba60: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0007ba70: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007ba80: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0007ba90: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0007baa0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0007bab0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0007bac0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0007bad0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0007bae0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ +0007baf0: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ +0007bb00: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ +0007bb10: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ +0007bb20: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ +0007bb30: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ +0007bb40: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ +0007bb50: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ +0007bb60: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ +0007bb70: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ +0007bb80: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ +0007bb90: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +0007bba0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +0007bbb0: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ +0007bbc0: 202d 7920 226e 7470 220a 0a65 6c73 650a   -y "ntp"..else.
│ │ │ +0007bbd0: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ +0007bbe0: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ +0007bbf0: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ +0007bc00: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ +0007bc10: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0007bc20: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007bc30: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007bc40: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007bc50: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007bc60: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0007bc70: 3033 3333 2220 7461 6269 6e64 6578 3d22  0333" tabindex="
│ │ │ +0007bc80: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007bc90: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007bca0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007bcb0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007bcc0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007bcd0: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +0007bce0: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +0007bcf0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007bd00: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007bd10: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007bd20: 2220 6964 3d22 6964 6d31 3033 3333 223e  " id="idm10333">
│ │ │ +0007bd30: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +0007bd40: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +0007bd50: 226e 7470 220a 7665 7273 696f 6e20 3d20  "ntp".version = 
│ │ │ +0007bd60: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ +0007bd70: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0007bd80: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0007bd90: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0007bda0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0007bdb0: 7267 6574 3d22 2369 646d 3130 3333 3422  rget="#idm10334"
│ │ │ +0007bdc0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0007bdd0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0007bde0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0007bdf0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0007be00: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0007be10: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0007be20: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +0007be30: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007be40: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007be50: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007be60: 2220 6964 3d22 6964 6d31 3033 3334 223e  " id="idm10334">
│ │ │ +0007be70: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0007be80: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0007be90: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0007bea0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0007beb0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0007bec0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0007bed0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007bee0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0007bef0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007bf00: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0007bf10: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0007bf20: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0007bf30: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0007bf40: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0007bf50: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0007bf60: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +0007bf70: 696e 7374 616c 6c5f 6e74 700a 0a63 6c61  install_ntp..cla
│ │ │ +0007bf80: 7373 2069 6e73 7461 6c6c 5f6e 7470 207b  ss install_ntp {
│ │ │ +0007bf90: 0a20 2070 6163 6b61 6765 207b 2027 6e74  .  package { 'nt
│ │ │ +0007bfa0: 7027 3a0a 2020 2020 656e 7375 7265 203d  p':.    ensure =
│ │ │ +0007bfb0: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +0007bfc0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0007bfd0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  0007bfe0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  0007bff0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  0007c000: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  0007c010: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  0007c020: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  0007c030: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ ├── html2text {}
│ │ │ │ @@ -1816,31 +1816,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1877,14 +1860,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ssyysslloogg--nngg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The syslog-ng service (in replacement of rsyslog) provides syslog-style logging
│ │ │ │  by default on Debian. The syslog-ng service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable syslog-ng.service
│ │ │ │  Rationale:  The syslog-ng service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │ @@ -1900,31 +1900,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1960,14 +1943,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1980,31 +1980,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2041,14 +2024,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 11. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2065,31 +2065,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2125,14 +2108,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3932,26 +3932,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -3976,33 +3964,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4024,34 +4012,34 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ -uninstalled.
│ │ │ │ -           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ -Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ -           cryptographic mechanisms integrated in NTP.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ +include remove_nis
│ │ │ │  
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ +uninstalled.
│ │ │ │ +           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ +Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ +           cryptographic mechanisms integrated in NTP.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4073,14 +4061,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -4098,26 +4098,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4142,14 +4130,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -4168,26 +4168,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4212,14 +4200,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 1 rule
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a
│ │ │ │  network. Computer clocks are not very accurate, so time will drift
│ │ │ │  unpredictably on unmanaged systems. Central time protocols can be used both to
│ │ │ │  ensure that time is consistent among a network of systems, and that their time
│ │ │ │  is consistent with the outside world.
│ │ │ │  
│ │ │ │ @@ -4281,31 +4281,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4344,14 +4327,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-anssi_np_nt28_high.html
│ │ │ @@ -21243,180 +21243,180 @@
│ │ │  00052fa0: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │  00052fb0: 3337 3622 2074 6162 696e 6465 783d 2230  376" tabindex="0
│ │ │  00052fc0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00052fd0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00052fe0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00052ff0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00053000: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00053010: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00053020: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00053030: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00053040: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00053050: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00053060: 2069 643d 2269 646d 3533 3736 223e 3c70   id="idm5376"><p
│ │ │ -00053070: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ -00053080: 6167 6573 5d5d 0a6e 616d 6520 3d20 2273  ages]].name = "s
│ │ │ -00053090: 7973 6c6f 672d 6e67 220a 7665 7273 696f  yslog-ng".versio
│ │ │ -000530a0: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ -000530b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000530c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000530d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000530e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000530f0: 612d 7461 7267 6574 3d22 2369 646d 3533  a-target="#idm53
│ │ │ -00053100: 3737 2220 7461 6269 6e64 6578 3d22 3022  77" tabindex="0"
│ │ │ -00053110: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00053120: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00053130: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00053140: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00053150: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00053160: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00053170: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00053180: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00053190: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000531a0: 7073 6522 2069 643d 2269 646d 3533 3737  pse" id="idm5377
│ │ │ -000531b0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000531c0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000531d0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000531e0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000531f0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00053200: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00053210: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00053220: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00053230: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00053240: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00053250: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00053260: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00053270: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00053280: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00053290: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000532a0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -000532b0: 6520 696e 7374 616c 6c5f 7379 736c 6f67  e install_syslog
│ │ │ -000532c0: 2d6e 670a 0a63 6c61 7373 2069 6e73 7461  -ng..class insta
│ │ │ -000532d0: 6c6c 5f73 7973 6c6f 672d 6e67 207b 0a20  ll_syslog-ng {. 
│ │ │ -000532e0: 2070 6163 6b61 6765 207b 2027 7379 736c   package { 'sysl
│ │ │ -000532f0: 6f67 2d6e 6727 3a0a 2020 2020 656e 7375  og-ng':.    ensu
│ │ │ -00053300: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -00053310: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -00053320: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00053330: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00053340: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00053350: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00053360: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00053370: 646d 3533 3738 2220 7461 6269 6e64 6578  dm5378" tabindex
│ │ │ -00053380: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00053390: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -000533a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -000533b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -000533c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000533d0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000533e0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000533f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00053400: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00053410: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00053420: 6d35 3337 3822 3e3c 7461 626c 6520 636c  m5378"><table cl
│ │ │ -00053430: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00053440: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00053450: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00053460: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00053470: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00053480: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00053490: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000534a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000534b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000534c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000534d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000534e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000534f0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00053500: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00053510: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00053520: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00053530: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00053540: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00053550: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00053560: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00053570: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00053580: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -00053590: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -000535a0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -000535b0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -000535c0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -000535d0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -000535e0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -000535f0: 655f 7379 736c 6f67 6e67 5f69 6e73 7461  e_syslogng_insta
│ │ │ -00053600: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -00053610: 7375 7265 2073 7973 6c6f 672d 6e67 2069  sure syslog-ng i
│ │ │ -00053620: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -00053630: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00053640: 2073 7973 6c6f 672d 6e67 0a20 2020 2073   syslog-ng.    s
│ │ │ -00053650: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -00053660: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -00053670: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00053680: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00053690: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -000536a0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -000536b0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -000536c0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -000536d0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -000536e0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -000536f0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00053700: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00053710: 640a 2020 2d20 7061 636b 6167 655f 7379  d.  - package_sy
│ │ │ -00053720: 736c 6f67 6e67 5f69 6e73 7461 6c6c 6564  slogng_installed
│ │ │ -00053730: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00053740: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00053750: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00053760: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00053770: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00053780: 743d 2223 6964 6d35 3337 3922 2074 6162  t="#idm5379" tab
│ │ │ -00053790: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000537a0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000537b0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000537c0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000537d0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000537e0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -000537f0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -00053800: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00053810: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00053820: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00053830: 6964 6d35 3337 3922 3e3c 7461 626c 6520  idm5379"><table 
│ │ │ -00053840: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00053850: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00053860: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00053870: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00053880: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00053890: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000538a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -000538b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000538c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000538d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -000538e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -000538f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00053900: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00053910: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00053920: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00053930: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ -00053940: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ -00053950: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ -00053960: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ -00053970: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ -00053980: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ -00053990: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ -000539a0: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ -000539b0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ -000539c0: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ -000539d0: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ -000539e0: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -000539f0: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ -00053a00: 6e73 7461 6c6c 202d 7920 2273 7973 6c6f  nstall -y "syslo
│ │ │ -00053a10: 672d 6e67 220a 0a65 6c73 650a 2020 2020  g-ng"..else.    
│ │ │ -00053a20: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ -00053a30: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ -00053a40: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ -00053a50: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ -00053a60: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +00053010: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00053020: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00053030: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00053040: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00053050: 6c61 7073 6522 2069 643d 2269 646d 3533  lapse" id="idm53
│ │ │ +00053060: 3736 223e 3c74 6162 6c65 2063 6c61 7373  76"><table class
│ │ │ +00053070: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00053080: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00053090: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000530a0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000530b0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000530c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000530d0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +000530e0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000530f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00053100: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00053110: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00053120: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00053130: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00053140: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00053150: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00053160: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00053170: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00053180: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00053190: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +000531a0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +000531b0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +000531c0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +000531d0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +000531e0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000531f0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00053200: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00053210: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00053220: 6564 0a20 202d 2070 6163 6b61 6765 5f73  ed.  - package_s
│ │ │ +00053230: 7973 6c6f 676e 675f 696e 7374 616c 6c65  yslogng_installe
│ │ │ +00053240: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +00053250: 6520 7379 736c 6f67 2d6e 6720 6973 2069  e syslog-ng is i
│ │ │ +00053260: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ +00053270: 6765 3a0a 2020 2020 6e61 6d65 3a20 7379  ge:.    name: sy
│ │ │ +00053280: 736c 6f67 2d6e 670a 2020 2020 7374 6174  slog-ng.    stat
│ │ │ +00053290: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ +000532a0: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ +000532b0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +000532c0: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +000532d0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +000532e0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +000532f0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00053300: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00053310: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00053320: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00053330: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00053340: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00053350: 202d 2070 6163 6b61 6765 5f73 7973 6c6f   - package_syslo
│ │ │ +00053360: 676e 675f 696e 7374 616c 6c65 640a 3c2f  gng_installed.</
│ │ │ +00053370: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00053380: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00053390: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +000533a0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +000533b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000533c0: 2369 646d 3533 3737 2220 7461 6269 6e64  #idm5377" tabind
│ │ │ +000533d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +000533e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +000533f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00053400: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00053410: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00053420: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +00053430: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +00053440: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00053450: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00053460: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00053470: 3533 3737 223e 3c74 6162 6c65 2063 6c61  5377"><table cla
│ │ │ +00053480: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00053490: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000534a0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000534b0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +000534c0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +000534d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000534e0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +000534f0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00053500: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053510: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00053520: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00053530: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00053540: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00053550: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00053560: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ +00053570: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ +00053580: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ +00053590: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ +000535a0: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ +000535b0: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ +000535c0: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ +000535d0: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ +000535e0: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ +000535f0: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ +00053600: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ +00053610: 6865 6e0a 0a44 4542 4941 4e5f 4652 4f4e  hen..DEBIAN_FRON
│ │ │ +00053620: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +00053630: 6976 6520 6170 742d 6765 7420 696e 7374  ive apt-get inst
│ │ │ +00053640: 616c 6c20 2d79 2022 7379 736c 6f67 2d6e  all -y "syslog-n
│ │ │ +00053650: 6722 0a0a 656c 7365 0a20 2020 2026 6774  g"..else.    &gt
│ │ │ +00053660: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ +00053670: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ +00053680: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ +00053690: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ +000536a0: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +000536b0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +000536c0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +000536d0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +000536e0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +000536f0: 6574 3d22 2369 646d 3533 3738 2220 7461  et="#idm5378" ta
│ │ │ +00053700: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00053710: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00053720: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00053730: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00053740: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00053750: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00053760: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +00053770: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00053780: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00053790: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000537a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000537b0: 6d35 3337 3822 3e3c 7072 653e 3c63 6f64  m5378"><pre><cod
│ │ │ +000537c0: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ +000537d0: 6e61 6d65 203d 2022 7379 736c 6f67 2d6e  name = "syslog-n
│ │ │ +000537e0: 6722 0a76 6572 7369 6f6e 203d 2022 2a22  g".version = "*"
│ │ │ +000537f0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00053800: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00053810: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00053820: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00053830: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00053840: 743d 2223 6964 6d35 3337 3922 2074 6162  t="#idm5379" tab
│ │ │ +00053850: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00053860: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00053870: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00053880: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00053890: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000538a0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +000538b0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +000538c0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000538d0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000538e0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +000538f0: 3d22 6964 6d35 3337 3922 3e3c 7461 626c  ="idm5379"><tabl
│ │ │ +00053900: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00053910: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00053920: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00053930: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00053940: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00053950: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00053960: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00053970: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00053980: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00053990: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +000539a0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +000539b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000539c0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +000539d0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +000539e0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000539f0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +00053a00: 6c6c 5f73 7973 6c6f 672d 6e67 0a0a 636c  ll_syslog-ng..cl
│ │ │ +00053a10: 6173 7320 696e 7374 616c 6c5f 7379 736c  ass install_sysl
│ │ │ +00053a20: 6f67 2d6e 6720 7b0a 2020 7061 636b 6167  og-ng {.  packag
│ │ │ +00053a30: 6520 7b20 2773 7973 6c6f 672d 6e67 273a  e { 'syslog-ng':
│ │ │ +00053a40: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00053a50: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +00053a60: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  00053a70: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  00053a80: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  00053a90: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  00053aa0: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  00053ab0: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  00053ac0: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  00053ad0: 756c 655f 7365 7276 6963 655f 7379 736c  ule_service_sysl
│ │ │ @@ -21631,150 +21631,150 @@
│ │ │  000547e0: 6765 743d 2223 6964 6d35 3436 3322 2074  get="#idm5463" t
│ │ │  000547f0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00054800: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00054810: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00054820: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00054830: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00054840: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00054850: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -00054860: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -00054870: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00054880: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00054890: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000548a0: 646d 3534 3633 223e 3c70 7265 3e3c 636f  dm5463"><pre><co
│ │ │ -000548b0: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -000548c0: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -000548d0: 6162 6c65 6420 3d20 5b22 7379 736c 6f67  abled = ["syslog
│ │ │ -000548e0: 2d6e 6722 5d0a 3c2f 636f 6465 3e3c 2f70  -ng"].</code></p
│ │ │ -000548f0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00054900: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00054910: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00054920: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00054930: 7461 7267 6574 3d22 2369 646d 3534 3634  target="#idm5464
│ │ │ -00054940: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00054950: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00054960: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00054970: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00054980: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00054990: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000549a0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -000549b0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -000549c0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -000549d0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -000549e0: 6522 2069 643d 2269 646d 3534 3634 223e  e" id="idm5464">
│ │ │ -000549f0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00054a00: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00054a10: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00054a20: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00054a30: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00054a40: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00054a50: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00054a60: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00054a70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00054a80: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00054a90: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00054aa0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00054ab0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00054ac0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00054ad0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00054ae0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00054af0: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ -00054b00: 0a0a 636c 6173 7320 656e 6162 6c65 5f73  ..class enable_s
│ │ │ -00054b10: 7973 6c6f 672d 6e67 207b 0a20 2073 6572  yslog-ng {.  ser
│ │ │ -00054b20: 7669 6365 207b 2773 7973 6c6f 672d 6e67  vice {'syslog-ng
│ │ │ -00054b30: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -00054b40: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -00054b50: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -00054b60: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -00054b70: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00054b80: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00054b90: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00054ba0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00054bb0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00054bc0: 646d 3534 3635 2220 7461 6269 6e64 6578  dm5465" tabindex
│ │ │ -00054bd0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00054be0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00054bf0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00054c00: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00054c10: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00054c20: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00054c30: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00054c40: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00054c50: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00054c60: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00054c70: 6d35 3436 3522 3e3c 7461 626c 6520 636c  m5465"><table cl
│ │ │ -00054c80: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00054c90: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00054ca0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00054cb0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00054cc0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00054cd0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00054ce0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00054cf0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00054d00: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00054d10: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00054d20: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00054d30: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00054d40: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00054d50: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00054d60: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00054d70: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00054d80: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00054d90: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00054da0: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00054db0: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00054dc0: 4953 542d 3830 302d 3533 2d41 552d 3428  IST-800-53-AU-4(
│ │ │ -00054dd0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -00054de0: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -00054df0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00054e00: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00054e10: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00054e20: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00054e30: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00054e40: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00054e50: 2d20 7365 7276 6963 655f 7379 736c 6f67  - service_syslog
│ │ │ -00054e60: 6e67 5f65 6e61 626c 6564 0a0a 2d20 6e61  ng_enabled..- na
│ │ │ -00054e70: 6d65 3a20 456e 6162 6c65 2073 7973 6c6f  me: Enable syslo
│ │ │ -00054e80: 672d 6e67 2053 6572 7669 6365 202d 2045  g-ng Service - E
│ │ │ -00054e90: 6e61 626c 6520 7365 7276 6963 6520 7379  nable service sy
│ │ │ -00054ea0: 736c 6f67 2d6e 670a 2020 626c 6f63 6b3a  slog-ng.  block:
│ │ │ -00054eb0: 0a0a 2020 2d20 6e61 6d65 3a20 4761 7468  ..  - name: Gath
│ │ │ -00054ec0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -00054ed0: 6163 7473 0a20 2020 2070 6163 6b61 6765  acts.    package
│ │ │ -00054ee0: 5f66 6163 7473 3a0a 2020 2020 2020 6d61  _facts:.      ma
│ │ │ -00054ef0: 6e61 6765 723a 2061 7574 6f0a 0a20 202d  nager: auto..  -
│ │ │ -00054f00: 206e 616d 653a 2045 6e61 626c 6520 7379   name: Enable sy
│ │ │ -00054f10: 736c 6f67 2d6e 6720 5365 7276 6963 6520  slog-ng Service 
│ │ │ -00054f20: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ -00054f30: 2073 7973 6c6f 672d 6e67 0a20 2020 2061   syslog-ng.    a
│ │ │ -00054f40: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ -00054f50: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ -00054f60: 6d65 3a20 7379 736c 6f67 2d6e 670a 2020  me: syslog-ng.  
│ │ │ -00054f70: 2020 2020 656e 6162 6c65 643a 2074 7275      enabled: tru
│ │ │ -00054f80: 650a 2020 2020 2020 7374 6174 653a 2073  e.      state: s
│ │ │ -00054f90: 7461 7274 6564 0a20 2020 2020 206d 6173  tarted.      mas
│ │ │ -00054fa0: 6b65 643a 2066 616c 7365 0a20 2020 2077  ked: false.    w
│ │ │ -00054fb0: 6865 6e3a 0a20 2020 202d 2027 2273 7973  hen:.    - '"sys
│ │ │ -00054fc0: 6c6f 672d 6e67 2220 696e 2061 6e73 6962  log-ng" in ansib
│ │ │ -00054fd0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -00054fe0: 7327 0a20 2077 6865 6e3a 2027 226c 696e  s'.  when: '"lin
│ │ │ -00054ff0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -00055000: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -00055010: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ -00055020: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ -00055030: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ -00055040: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00055050: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -00055060: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00055070: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00055080: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -00055090: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -000550a0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -000550b0: 202d 2073 6572 7669 6365 5f73 7973 6c6f   - service_syslo
│ │ │ -000550c0: 676e 675f 656e 6162 6c65 640a 3c2f 636f  gng_enabled.</co
│ │ │ +00054850: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00054860: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00054870: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00054880: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00054890: 2069 643d 2269 646d 3534 3633 223e 3c74   id="idm5463"><t
│ │ │ +000548a0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +000548b0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +000548c0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +000548d0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +000548e0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +000548f0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00054900: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00054910: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00054920: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00054930: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00054940: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00054950: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00054960: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00054970: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00054980: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00054990: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +000549a0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +000549b0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +000549c0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +000549d0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +000549e0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +000549f0: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +00054a00: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00054a10: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00054a20: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00054a30: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00054a40: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00054a50: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00054a60: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00054a70: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +00054a80: 5f73 7973 6c6f 676e 675f 656e 6162 6c65  _syslogng_enable
│ │ │ +00054a90: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ +00054aa0: 6520 7379 736c 6f67 2d6e 6720 5365 7276  e syslog-ng Serv
│ │ │ +00054ab0: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ +00054ac0: 7669 6365 2073 7973 6c6f 672d 6e67 0a20  vice syslog-ng. 
│ │ │ +00054ad0: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ +00054ae0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +00054af0: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ +00054b00: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00054b10: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ +00054b20: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ +00054b30: 6162 6c65 2073 7973 6c6f 672d 6e67 2053  able syslog-ng S
│ │ │ +00054b40: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +00054b50: 5365 7276 6963 6520 7379 736c 6f67 2d6e  Service syslog-n
│ │ │ +00054b60: 670a 2020 2020 616e 7369 626c 652e 6275  g.    ansible.bu
│ │ │ +00054b70: 696c 7469 6e2e 7379 7374 656d 643a 0a20  iltin.systemd:. 
│ │ │ +00054b80: 2020 2020 206e 616d 653a 2073 7973 6c6f       name: syslo
│ │ │ +00054b90: 672d 6e67 0a20 2020 2020 2065 6e61 626c  g-ng.      enabl
│ │ │ +00054ba0: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ +00054bb0: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ +00054bc0: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ +00054bd0: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ +00054be0: 2d20 2722 7379 736c 6f67 2d6e 6722 2069  - '"syslog-ng" i
│ │ │ +00054bf0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00054c00: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ +00054c10: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +00054c20: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +00054c30: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +00054c40: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00054c50: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ +00054c60: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00054c70: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +00054c80: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00054c90: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00054ca0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00054cb0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00054cc0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00054cd0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +00054ce0: 655f 7379 736c 6f67 6e67 5f65 6e61 626c  e_syslogng_enabl
│ │ │ +00054cf0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00054d00: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00054d10: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00054d20: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00054d30: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00054d40: 6765 743d 2223 6964 6d35 3436 3422 2074  get="#idm5464" t
│ │ │ +00054d50: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00054d60: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00054d70: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00054d80: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00054d90: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00054da0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00054db0: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +00054dc0: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +00054dd0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00054de0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00054df0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00054e00: 646d 3534 3634 223e 3c70 7265 3e3c 636f  dm5464"><pre><co
│ │ │ +00054e10: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ +00054e20: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ +00054e30: 6162 6c65 6420 3d20 5b22 7379 736c 6f67  abled = ["syslog
│ │ │ +00054e40: 2d6e 6722 5d0a 3c2f 636f 6465 3e3c 2f70  -ng"].</code></p
│ │ │ +00054e50: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00054e60: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00054e70: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00054e80: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00054e90: 7461 7267 6574 3d22 2369 646d 3534 3635  target="#idm5465
│ │ │ +00054ea0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00054eb0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00054ec0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00054ed0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00054ee0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00054ef0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00054f00: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00054f10: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00054f20: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00054f30: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00054f40: 6522 2069 643d 2269 646d 3534 3635 223e  e" id="idm5465">
│ │ │ +00054f50: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00054f60: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00054f70: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00054f80: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00054f90: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00054fa0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00054fb0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00054fc0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00054fd0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00054fe0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00054ff0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00055000: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00055010: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00055020: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00055030: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00055040: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00055050: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ +00055060: 0a0a 636c 6173 7320 656e 6162 6c65 5f73  ..class enable_s
│ │ │ +00055070: 7973 6c6f 672d 6e67 207b 0a20 2073 6572  yslog-ng {.  ser
│ │ │ +00055080: 7669 6365 207b 2773 7973 6c6f 672d 6e67  vice {'syslog-ng
│ │ │ +00055090: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ +000550a0: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ +000550b0: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ +000550c0: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │  000550d0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  000550e0: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  000550f0: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00055100: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00055110: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  00055120: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  00055130: 6e74 656e 745f 7275 6c65 5f70 6163 6b61  ntent_rule_packa
│ │ │ @@ -21982,179 +21982,179 @@
│ │ │  00055dd0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00055de0: 3438 3337 2220 7461 6269 6e64 6578 3d22  4837" tabindex="
│ │ │  00055df0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00055e00: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00055e10: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00055e20: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00055e30: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00055e40: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -00055e50: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -00055e60: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00055e70: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00055e80: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00055e90: 2220 6964 3d22 6964 6d34 3833 3722 3e3c  " id="idm4837"><
│ │ │ -00055ea0: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00055eb0: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -00055ec0: 7273 7973 6c6f 6722 0a76 6572 7369 6f6e  rsyslog".version
│ │ │ -00055ed0: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -00055ee0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00055ef0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00055f00: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00055f10: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00055f20: 2d74 6172 6765 743d 2223 6964 6d34 3833  -target="#idm483
│ │ │ -00055f30: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ -00055f40: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00055f50: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00055f60: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00055f70: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00055f80: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00055f90: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00055fa0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00055fb0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00055fc0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00055fd0: 7365 2220 6964 3d22 6964 6d34 3833 3822  se" id="idm4838"
│ │ │ -00055fe0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00055ff0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00056000: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00056010: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00056020: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00056030: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00056040: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00056050: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00056060: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00056070: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00056080: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00056090: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000560a0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -000560b0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -000560c0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -000560d0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -000560e0: 2069 6e73 7461 6c6c 5f72 7379 736c 6f67   install_rsyslog
│ │ │ -000560f0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -00056100: 7273 7973 6c6f 6720 7b0a 2020 7061 636b  rsyslog {.  pack
│ │ │ -00056110: 6167 6520 7b20 2772 7379 736c 6f67 273a  age { 'rsyslog':
│ │ │ -00056120: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00056130: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -00056140: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00056150: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00056160: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00056170: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00056180: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00056190: 6172 6765 743d 2223 6964 6d34 3833 3922  arget="#idm4839"
│ │ │ -000561a0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -000561b0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000561c0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000561d0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000561e0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -000561f0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00056200: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00056210: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00056220: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00056230: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00056240: 6522 2069 643d 2269 646d 3438 3339 223e  e" id="idm4839">
│ │ │ -00056250: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00056260: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00056270: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00056280: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00056290: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -000562a0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -000562b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000562c0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -000562d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000562e0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -000562f0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00056300: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00056310: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00056320: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00056330: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00056340: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00056350: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00056360: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00056370: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00056380: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -00056390: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -000563a0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -000563b0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -000563c0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -000563d0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -000563e0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -000563f0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -00056400: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00056410: 202d 2070 6163 6b61 6765 5f72 7379 736c   - package_rsysl
│ │ │ -00056420: 6f67 5f69 6e73 7461 6c6c 6564 0a0a 2d20  og_installed..- 
│ │ │ -00056430: 6e61 6d65 3a20 456e 7375 7265 2072 7379  name: Ensure rsy
│ │ │ -00056440: 736c 6f67 2069 7320 696e 7374 616c 6c65  slog is installe
│ │ │ -00056450: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00056460: 206e 616d 653a 2072 7379 736c 6f67 0a20   name: rsyslog. 
│ │ │ -00056470: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ -00056480: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ -00056490: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -000564a0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -000564b0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -000564c0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -000564d0: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -000564e0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -000564f0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00056500: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00056510: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -00056520: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00056530: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -00056540: 655f 7273 7973 6c6f 675f 696e 7374 616c  e_rsyslog_instal
│ │ │ -00056550: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ -00056560: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00056570: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00056580: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00056590: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -000565a0: 7267 6574 3d22 2369 646d 3438 3430 2220  rget="#idm4840" 
│ │ │ -000565b0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -000565c0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -000565d0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -000565e0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -000565f0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00056600: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00056610: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -00056620: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00056630: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00056640: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00056650: 643d 2269 646d 3438 3430 223e 3c74 6162  d="idm4840"><tab
│ │ │ -00056660: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00056670: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00056680: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00056690: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -000566a0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -000566b0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000566c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000566d0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000566e0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000566f0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00056700: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00056710: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00056720: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00056730: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00056740: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00056750: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ -00056760: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ -00056770: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ -00056780: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ -00056790: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ -000567a0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ -000567b0: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ -000567c0: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ -000567d0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ -000567e0: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ -000567f0: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ -00056800: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -00056810: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -00056820: 7420 696e 7374 616c 6c20 2d79 2022 7273  t install -y "rs
│ │ │ -00056830: 7973 6c6f 6722 0a0a 656c 7365 0a20 2020  yslog"..else.   
│ │ │ -00056840: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ -00056850: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ -00056860: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ -00056870: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ -00056880: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +00055e40: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00055e50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00055e60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00055e70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00055e80: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ +00055e90: 3833 3722 3e3c 7461 626c 6520 636c 6173  837"><table clas
│ │ │ +00055ea0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00055eb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00055ec0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00055ed0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00055ee0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00055ef0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00055f00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00055f10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00055f20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00055f30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00055f40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00055f50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00055f60: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00055f70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00055f80: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00055f90: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00055fa0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00055fb0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00055fc0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +00055fd0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00055fe0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00055ff0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00056000: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00056010: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00056020: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00056030: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00056040: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00056050: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00056060: 7273 7973 6c6f 675f 696e 7374 616c 6c65  rsyslog_installe
│ │ │ +00056070: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +00056080: 6520 7273 7973 6c6f 6720 6973 2069 6e73  e rsyslog is ins
│ │ │ +00056090: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ +000560a0: 3a0a 2020 2020 6e61 6d65 3a20 7273 7973  :.    name: rsys
│ │ │ +000560b0: 6c6f 670a 2020 2020 7374 6174 653a 2070  log.    state: p
│ │ │ +000560c0: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ +000560d0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +000560e0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +000560f0: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +00056100: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00056110: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00056120: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00056130: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00056140: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00056150: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00056160: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00056170: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00056180: 6163 6b61 6765 5f72 7379 736c 6f67 5f69  ackage_rsyslog_i
│ │ │ +00056190: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +000561a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +000561b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +000561c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +000561d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +000561e0: 7461 2d74 6172 6765 743d 2223 6964 6d34  ta-target="#idm4
│ │ │ +000561f0: 3833 3822 2074 6162 696e 6465 783d 2230  838" tabindex="0
│ │ │ +00056200: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00056210: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00056220: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00056230: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00056240: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00056250: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +00056260: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +00056270: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00056280: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00056290: 7365 2220 6964 3d22 6964 6d34 3833 3822  se" id="idm4838"
│ │ │ +000562a0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000562b0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000562c0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000562d0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +000562e0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000562f0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00056300: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00056310: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00056320: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00056330: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00056340: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00056350: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00056360: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00056370: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00056380: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00056390: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ +000563a0: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ +000563b0: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ +000563c0: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ +000563d0: 6620 6470 6b67 2d71 7565 7279 202d 2d73  f dpkg-query --s
│ │ │ +000563e0: 686f 7720 2d2d 7368 6f77 666f 726d 6174  how --showformat
│ │ │ +000563f0: 3d27 247b 6462 3a53 7461 7475 732d 5374  ='${db:Status-St
│ │ │ +00056400: 6174 7573 7d0a 2720 276c 696e 7578 2d62  atus}.' 'linux-b
│ │ │ +00056410: 6173 6527 2032 2667 743b 2f64 6576 2f6e  ase' 2&gt;/dev/n
│ │ │ +00056420: 756c 6c20 7c20 6772 6570 202d 7120 5e69  ull | grep -q ^i
│ │ │ +00056430: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a  nstalled; then..
│ │ │ +00056440: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00056450: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00056460: 7074 2d67 6574 2069 6e73 7461 6c6c 202d  pt-get install -
│ │ │ +00056470: 7920 2272 7379 736c 6f67 220a 0a65 6c73  y "rsyslog"..els
│ │ │ +00056480: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ +00056490: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ +000564a0: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ +000564b0: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ +000564c0: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +000564d0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +000564e0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +000564f0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00056500: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00056510: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00056520: 6d34 3833 3922 2074 6162 696e 6465 783d  m4839" tabindex=
│ │ │ +00056530: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00056540: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00056550: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00056560: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00056570: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00056580: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +00056590: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +000565a0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000565b0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000565c0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000565d0: 6522 2069 643d 2269 646d 3438 3339 223e  e" id="idm4839">
│ │ │ +000565e0: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +000565f0: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +00056600: 2272 7379 736c 6f67 220a 7665 7273 696f  "rsyslog".versio
│ │ │ +00056610: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ +00056620: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00056630: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00056640: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00056650: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00056660: 612d 7461 7267 6574 3d22 2369 646d 3438  a-target="#idm48
│ │ │ +00056670: 3430 2220 7461 6269 6e64 6578 3d22 3022  40" tabindex="0"
│ │ │ +00056680: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00056690: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000566a0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000566b0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000566c0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +000566d0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +000566e0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +000566f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00056700: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00056710: 7073 6522 2069 643d 2269 646d 3438 3430  pse" id="idm4840
│ │ │ +00056720: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00056730: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00056740: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00056750: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00056760: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00056770: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00056780: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00056790: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000567a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000567b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000567c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000567d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000567e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +000567f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00056800: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00056810: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00056820: 6520 696e 7374 616c 6c5f 7273 7973 6c6f  e install_rsyslo
│ │ │ +00056830: 670a 0a63 6c61 7373 2069 6e73 7461 6c6c  g..class install
│ │ │ +00056840: 5f72 7379 736c 6f67 207b 0a20 2070 6163  _rsyslog {.  pac
│ │ │ +00056850: 6b61 6765 207b 2027 7273 7973 6c6f 6727  kage { 'rsyslog'
│ │ │ +00056860: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00056870: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ +00056880: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  00056890: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  000568a0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  000568b0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  000568c0: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  000568d0: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  000568e0: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  000568f0: 7275 6c65 5f73 6572 7669 6365 5f72 7379  rule_service_rsy
│ │ │ @@ -22383,149 +22383,149 @@
│ │ │  000576e0: 6172 6765 743d 2223 6964 6d34 3932 3322  arget="#idm4923"
│ │ │  000576f0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00057700: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00057710: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00057720: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00057730: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00057740: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00057750: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00057760: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00057770: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00057780: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00057790: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000577a0: 2269 646d 3439 3233 223e 3c70 7265 3e3c  "idm4923"><pre><
│ │ │ -000577b0: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ -000577c0: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ -000577d0: 656e 6162 6c65 6420 3d20 5b22 7273 7973  enabled = ["rsys
│ │ │ -000577e0: 6c6f 6722 5d0a 3c2f 636f 6465 3e3c 2f70  log"].</code></p
│ │ │ -000577f0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00057800: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00057810: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00057820: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00057830: 7461 7267 6574 3d22 2369 646d 3439 3234  target="#idm4924
│ │ │ -00057840: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00057850: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00057860: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00057870: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00057880: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00057890: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000578a0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -000578b0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -000578c0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -000578d0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -000578e0: 6522 2069 643d 2269 646d 3439 3234 223e  e" id="idm4924">
│ │ │ -000578f0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00057900: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00057910: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00057920: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00057930: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00057940: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00057950: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00057960: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00057970: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00057980: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00057990: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -000579a0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -000579b0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -000579c0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -000579d0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -000579e0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -000579f0: 656e 6162 6c65 5f72 7379 736c 6f67 0a0a  enable_rsyslog..
│ │ │ -00057a00: 636c 6173 7320 656e 6162 6c65 5f72 7379  class enable_rsy
│ │ │ -00057a10: 736c 6f67 207b 0a20 2073 6572 7669 6365  slog {.  service
│ │ │ -00057a20: 207b 2772 7379 736c 6f67 273a 0a20 2020   {'rsyslog':.   
│ │ │ -00057a30: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ -00057a40: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ -00057a50: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ -00057a60: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00057a70: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00057a80: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00057a90: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00057aa0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00057ab0: 7461 7267 6574 3d22 2369 646d 3439 3235  target="#idm4925
│ │ │ -00057ac0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00057ad0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00057ae0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00057af0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00057b00: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00057b10: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00057b20: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00057b30: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00057b40: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00057b50: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00057b60: 7365 2220 6964 3d22 6964 6d34 3932 3522  se" id="idm4925"
│ │ │ -00057b70: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00057b80: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00057b90: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00057ba0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00057bb0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00057bc0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00057bd0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00057be0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00057bf0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00057c00: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00057c10: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00057c20: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00057c30: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00057c40: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00057c50: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00057c60: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00057c70: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00057c80: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00057c90: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00057ca0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00057cb0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00057cc0: 302d 3533 2d41 552d 3428 3129 0a20 202d  0-53-AU-4(1).  -
│ │ │ -00057cd0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00057ce0: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -00057cf0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00057d00: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00057d10: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00057d20: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00057d30: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00057d40: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00057d50: 6963 655f 7273 7973 6c6f 675f 656e 6162  ice_rsyslog_enab
│ │ │ -00057d60: 6c65 640a 0a2d 206e 616d 653a 2045 6e61  led..- name: Ena
│ │ │ -00057d70: 626c 6520 7273 7973 6c6f 6720 5365 7276  ble rsyslog Serv
│ │ │ -00057d80: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ -00057d90: 7669 6365 2072 7379 736c 6f67 0a20 2062  vice rsyslog.  b
│ │ │ -00057da0: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ -00057db0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00057dc0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ -00057dd0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00057de0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00057df0: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ -00057e00: 6c65 2072 7379 736c 6f67 2053 6572 7669  le rsyslog Servi
│ │ │ -00057e10: 6365 202d 2045 6e61 626c 6520 5365 7276  ce - Enable Serv
│ │ │ -00057e20: 6963 6520 7273 7973 6c6f 670a 2020 2020  ice rsyslog.    
│ │ │ -00057e30: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ -00057e40: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ -00057e50: 616d 653a 2072 7379 736c 6f67 0a20 2020  ame: rsyslog.   
│ │ │ -00057e60: 2020 2065 6e61 626c 6564 3a20 7472 7565     enabled: true
│ │ │ -00057e70: 0a20 2020 2020 2073 7461 7465 3a20 7374  .      state: st
│ │ │ -00057e80: 6172 7465 640a 2020 2020 2020 6d61 736b  arted.      mask
│ │ │ -00057e90: 6564 3a20 6661 6c73 650a 2020 2020 7768  ed: false.    wh
│ │ │ -00057ea0: 656e 3a0a 2020 2020 2d20 2722 7273 7973  en:.    - '"rsys
│ │ │ -00057eb0: 6c6f 6722 2069 6e20 616e 7369 626c 655f  log" in ansible_
│ │ │ -00057ec0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -00057ed0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -00057ee0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -00057ef0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00057f00: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00057f10: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ -00057f20: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00057f30: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -00057f40: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00057f50: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00057f60: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00057f70: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00057f80: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00057f90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00057fa0: 7365 7276 6963 655f 7273 7973 6c6f 675f  service_rsyslog_
│ │ │ -00057fb0: 656e 6162 6c65 640a 3c2f 636f 6465 3e3c  enabled.</code><
│ │ │ +00057750: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00057760: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00057770: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00057780: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00057790: 6522 2069 643d 2269 646d 3439 3233 223e  e" id="idm4923">
│ │ │ +000577a0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000577b0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000577c0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000577d0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000577e0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000577f0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00057800: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00057810: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00057820: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00057830: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00057840: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00057850: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00057860: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00057870: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00057880: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00057890: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +000578a0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +000578b0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +000578c0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +000578d0: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +000578e0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +000578f0: 2d35 332d 4155 2d34 2831 290a 2020 2d20  -53-AU-4(1).  - 
│ │ │ +00057900: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +00057910: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ +00057920: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00057930: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00057940: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00057950: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00057960: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00057970: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ +00057980: 6365 5f72 7379 736c 6f67 5f65 6e61 626c  ce_rsyslog_enabl
│ │ │ +00057990: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ +000579a0: 6c65 2072 7379 736c 6f67 2053 6572 7669  le rsyslog Servi
│ │ │ +000579b0: 6365 202d 2045 6e61 626c 6520 7365 7276  ce - Enable serv
│ │ │ +000579c0: 6963 6520 7273 7973 6c6f 670a 2020 626c  ice rsyslog.  bl
│ │ │ +000579d0: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ +000579e0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +000579f0: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ +00057a00: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00057a10: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00057a20: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ +00057a30: 6520 7273 7973 6c6f 6720 5365 7276 6963  e rsyslog Servic
│ │ │ +00057a40: 6520 2d20 456e 6162 6c65 2053 6572 7669  e - Enable Servi
│ │ │ +00057a50: 6365 2072 7379 736c 6f67 0a20 2020 2061  ce rsyslog.    a
│ │ │ +00057a60: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ +00057a70: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ +00057a80: 6d65 3a20 7273 7973 6c6f 670a 2020 2020  me: rsyslog.    
│ │ │ +00057a90: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ +00057aa0: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ +00057ab0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ +00057ac0: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ +00057ad0: 6e3a 0a20 2020 202d 2027 2272 7379 736c  n:.    - '"rsysl
│ │ │ +00057ae0: 6f67 2220 696e 2061 6e73 6962 6c65 5f66  og" in ansible_f
│ │ │ +00057af0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00057b00: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00057b10: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00057b20: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00057b30: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00057b40: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +00057b50: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00057b60: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00057b70: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00057b80: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00057b90: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00057ba0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00057bb0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00057bc0: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00057bd0: 6572 7669 6365 5f72 7379 736c 6f67 5f65  ervice_rsyslog_e
│ │ │ +00057be0: 6e61 626c 6564 0a3c 2f63 6f64 653e 3c2f  nabled.</code></
│ │ │ +00057bf0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00057c00: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00057c10: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00057c20: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00057c30: 2d74 6172 6765 743d 2223 6964 6d34 3932  -target="#idm492
│ │ │ +00057c40: 3422 2074 6162 696e 6465 783d 2230 2220  4" tabindex="0" 
│ │ │ +00057c50: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00057c60: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00057c70: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00057c80: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00057c90: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00057ca0: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +00057cb0: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +00057cc0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00057cd0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00057ce0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00057cf0: 643d 2269 646d 3439 3234 223e 3c70 7265  d="idm4924"><pre
│ │ │ +00057d00: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ +00057d10: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ +00057d20: 5d0a 656e 6162 6c65 6420 3d20 5b22 7273  ].enabled = ["rs
│ │ │ +00057d30: 7973 6c6f 6722 5d0a 3c2f 636f 6465 3e3c  yslog"].</code><
│ │ │ +00057d40: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00057d50: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00057d60: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00057d70: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00057d80: 612d 7461 7267 6574 3d22 2369 646d 3439  a-target="#idm49
│ │ │ +00057d90: 3235 2220 7461 6269 6e64 6578 3d22 3022  25" tabindex="0"
│ │ │ +00057da0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00057db0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00057dc0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00057dd0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00057de0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00057df0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00057e00: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00057e10: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00057e20: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00057e30: 7073 6522 2069 643d 2269 646d 3439 3235  pse" id="idm4925
│ │ │ +00057e40: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00057e50: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00057e60: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00057e70: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00057e80: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00057e90: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00057ea0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00057eb0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00057ec0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00057ed0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00057ee0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00057ef0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00057f00: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00057f10: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00057f20: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00057f30: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00057f40: 6520 656e 6162 6c65 5f72 7379 736c 6f67  e enable_rsyslog
│ │ │ +00057f50: 0a0a 636c 6173 7320 656e 6162 6c65 5f72  ..class enable_r
│ │ │ +00057f60: 7379 736c 6f67 207b 0a20 2073 6572 7669  syslog {.  servi
│ │ │ +00057f70: 6365 207b 2772 7379 736c 6f67 273a 0a20  ce {'rsyslog':. 
│ │ │ +00057f80: 2020 2065 6e61 626c 6520 3d26 6774 3b20     enable =&gt; 
│ │ │ +00057f90: 7472 7565 2c0a 2020 2020 656e 7375 7265  true,.    ensure
│ │ │ +00057fa0: 203d 2667 743b 2027 7275 6e6e 696e 6727   =&gt; 'running'
│ │ │ +00057fb0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00057fc0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  00057fd0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00057fe0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00057ff0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00058000: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  00058010: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00058020: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -30458,181 +30458,181 @@
│ │ │  00076f90: 6574 3d22 2369 646d 3935 3335 2220 7461  et="#idm9535" ta
│ │ │  00076fa0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00076fb0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00076fc0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  00076fd0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  00076fe0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00076ff0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00077000: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -00077010: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00077020: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00077030: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00077040: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00077050: 6d39 3533 3522 3e3c 7072 653e 3c63 6f64  m9535"><pre><cod
│ │ │ -00077060: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ -00077070: 6e61 6d65 203d 2022 6372 6f6e 220a 7665  name = "cron".ve
│ │ │ -00077080: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -00077090: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000770a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000770b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000770c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000770d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000770e0: 646d 3935 3336 2220 7461 6269 6e64 6578  dm9536" tabindex
│ │ │ -000770f0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00077100: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00077110: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00077120: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00077130: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00077140: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00077150: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00077160: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00077170: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00077180: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00077190: 3935 3336 223e 3c74 6162 6c65 2063 6c61  9536"><table cla
│ │ │ -000771a0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000771b0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000771c0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000771d0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000771e0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000771f0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077200: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077210: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077220: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077230: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077240: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077250: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077260: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00077270: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00077280: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00077290: 636c 7564 6520 696e 7374 616c 6c5f 6372  clude install_cr
│ │ │ -000772a0: 6f6e 0a0a 636c 6173 7320 696e 7374 616c  on..class instal
│ │ │ -000772b0: 6c5f 6372 6f6e 207b 0a20 2070 6163 6b61  l_cron {.  packa
│ │ │ -000772c0: 6765 207b 2027 6372 6f6e 273a 0a20 2020  ge { 'cron':.   
│ │ │ -000772d0: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -000772e0: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -000772f0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00077300: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00077310: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00077320: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00077330: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00077340: 743d 2223 6964 6d39 3533 3722 2074 6162  t="#idm9537" tab
│ │ │ -00077350: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00077360: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00077370: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00077380: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00077390: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000773a0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -000773b0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -000773c0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000773d0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000773e0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -000773f0: 643d 2269 646d 3935 3337 223e 3c74 6162  d="idm9537"><tab
│ │ │ -00077400: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00077410: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00077420: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00077430: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00077440: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00077450: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00077460: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00077470: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00077480: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00077490: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000774a0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000774b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000774c0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000774d0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -000774e0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000774f0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -00077500: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -00077510: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -00077520: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -00077530: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -00077540: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00077550: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -00077560: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ -00077570: 492d 4453 5376 342d 322e 322e 360a 2020  I-DSSv4-2.2.6.  
│ │ │ -00077580: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00077590: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000775a0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000775b0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -000775c0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -000775d0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -000775e0: 0a20 202d 2070 6163 6b61 6765 5f63 726f  .  - package_cro
│ │ │ -000775f0: 6e5f 696e 7374 616c 6c65 640a 0a2d 206e  n_installed..- n
│ │ │ -00077600: 616d 653a 2045 6e73 7572 6520 6372 6f6e  ame: Ensure cron
│ │ │ -00077610: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ -00077620: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -00077630: 653a 2063 726f 6e0a 2020 2020 7374 6174  e: cron.    stat
│ │ │ -00077640: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ -00077650: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -00077660: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -00077670: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -00077680: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00077690: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -000776a0: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ -000776b0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ -000776c0: 360a 2020 2d20 656e 6162 6c65 5f73 7472  6.  - enable_str
│ │ │ -000776d0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -000776e0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -000776f0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00077700: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00077710: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00077720: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00077730: 5f63 726f 6e5f 696e 7374 616c 6c65 640a  _cron_installed.
│ │ │ -00077740: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00077750: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00077760: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00077770: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00077780: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00077790: 3d22 2369 646d 3935 3338 2220 7461 6269  ="#idm9538" tabi
│ │ │ -000777a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -000777b0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -000777c0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -000777d0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000777e0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000777f0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -00077800: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -00077810: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00077820: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00077830: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00077840: 646d 3935 3338 223e 3c74 6162 6c65 2063  dm9538"><table c
│ │ │ -00077850: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00077860: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00077870: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00077880: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00077890: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -000778a0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000778b0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -000778c0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -000778d0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000778e0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000778f0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00077900: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00077910: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00077920: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00077930: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00077940: 2320 5265 6d65 6469 6174 696f 6e20 6973  # Remediation is
│ │ │ -00077950: 2061 7070 6c69 6361 626c 6520 6f6e 6c79   applicable only
│ │ │ -00077960: 2069 6e20 6365 7274 6169 6e20 706c 6174   in certain plat
│ │ │ -00077970: 666f 726d 730a 6966 2064 706b 672d 7175  forms.if dpkg-qu
│ │ │ -00077980: 6572 7920 2d2d 7368 6f77 202d 2d73 686f  ery --show --sho
│ │ │ -00077990: 7766 6f72 6d61 743d 2724 7b64 623a 5374  wformat='${db:St
│ │ │ -000779a0: 6174 7573 2d53 7461 7475 737d 0a27 2027  atus-Status}.' '
│ │ │ -000779b0: 6c69 6e75 782d 6261 7365 2720 3226 6774  linux-base' 2&gt
│ │ │ -000779c0: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265  ;/dev/null | gre
│ │ │ -000779d0: 7020 2d71 205e 696e 7374 616c 6c65 643b  p -q ^installed;
│ │ │ -000779e0: 2074 6865 6e0a 0a44 4542 4941 4e5f 4652   then..DEBIAN_FR
│ │ │ -000779f0: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -00077a00: 6374 6976 6520 6170 742d 6765 7420 696e  ctive apt-get in
│ │ │ -00077a10: 7374 616c 6c20 2d79 2022 6372 6f6e 220a  stall -y "cron".
│ │ │ -00077a20: 0a65 6c73 650a 2020 2020 2667 743b 2661  .else.    &gt;&a
│ │ │ -00077a30: 6d70 3b32 2065 6368 6f20 2752 656d 6564  mp;2 echo 'Remed
│ │ │ -00077a40: 6961 7469 6f6e 2069 7320 6e6f 7420 6170  iation is not ap
│ │ │ -00077a50: 706c 6963 6162 6c65 2c20 6e6f 7468 696e  plicable, nothin
│ │ │ -00077a60: 6720 7761 7320 646f 6e65 270a 6669 0a3c  g was done'.fi.<
│ │ │ +00077000: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +00077010: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00077020: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00077030: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00077040: 6964 3d22 6964 6d39 3533 3522 3e3c 7461  id="idm9535"><ta
│ │ │ +00077050: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00077060: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00077070: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00077080: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00077090: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +000770a0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +000770b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000770c0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000770d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000770e0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000770f0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00077100: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00077110: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00077120: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00077130: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00077140: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +00077150: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00077160: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +00077170: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +00077180: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +00077190: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +000771a0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +000771b0: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +000771c0: 4349 2d44 5353 7634 2d32 2e32 2e36 0a20  CI-DSSv4-2.2.6. 
│ │ │ +000771d0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +000771e0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +000771f0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00077200: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00077210: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00077220: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00077230: 640a 2020 2d20 7061 636b 6167 655f 6372  d.  - package_cr
│ │ │ +00077240: 6f6e 5f69 6e73 7461 6c6c 6564 0a0a 2d20  on_installed..- 
│ │ │ +00077250: 6e61 6d65 3a20 456e 7375 7265 2063 726f  name: Ensure cro
│ │ │ +00077260: 6e20 6973 2069 6e73 7461 6c6c 6564 0a20  n is installed. 
│ │ │ +00077270: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00077280: 6d65 3a20 6372 6f6e 0a20 2020 2073 7461  me: cron.    sta
│ │ │ +00077290: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ +000772a0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +000772b0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +000772c0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +000772d0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +000772e0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +000772f0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00077300: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00077310: 2e36 0a20 202d 2065 6e61 626c 655f 7374  .6.  - enable_st
│ │ │ +00077320: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00077330: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00077340: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00077350: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00077360: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00077370: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00077380: 655f 6372 6f6e 5f69 6e73 7461 6c6c 6564  e_cron_installed
│ │ │ +00077390: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +000773a0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +000773b0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +000773c0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +000773d0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +000773e0: 743d 2223 6964 6d39 3533 3622 2074 6162  t="#idm9536" tab
│ │ │ +000773f0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00077400: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00077410: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00077420: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00077430: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00077440: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ +00077450: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ +00077460: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00077470: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00077480: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00077490: 6964 6d39 3533 3622 3e3c 7461 626c 6520  idm9536"><table 
│ │ │ +000774a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +000774b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +000774c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000774d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000774e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +000774f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00077500: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00077510: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00077520: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00077530: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00077540: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00077550: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00077560: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00077570: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00077580: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00077590: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ +000775a0: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ +000775b0: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ +000775c0: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ +000775d0: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ +000775e0: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ +000775f0: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ +00077600: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ +00077610: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ +00077620: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ +00077630: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ +00077640: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +00077650: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ +00077660: 6e73 7461 6c6c 202d 7920 2263 726f 6e22  nstall -y "cron"
│ │ │ +00077670: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ +00077680: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ +00077690: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ +000776a0: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ +000776b0: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +000776c0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000776d0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000776e0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000776f0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00077700: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00077710: 3d22 2369 646d 3935 3337 2220 7461 6269  ="#idm9537" tabi
│ │ │ +00077720: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00077730: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00077740: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00077750: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00077760: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00077770: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +00077780: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +00077790: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +000777a0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000777b0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000777c0: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ +000777d0: 3533 3722 3e3c 7072 653e 3c63 6f64 653e  537"><pre><code>
│ │ │ +000777e0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +000777f0: 6d65 203d 2022 6372 6f6e 220a 7665 7273  me = "cron".vers
│ │ │ +00077800: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ +00077810: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00077820: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00077830: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00077840: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00077850: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00077860: 3935 3338 2220 7461 6269 6e64 6578 3d22  9538" tabindex="
│ │ │ +00077870: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00077880: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00077890: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +000778a0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +000778b0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +000778c0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +000778d0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000778e0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000778f0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00077900: 6c61 7073 6522 2069 643d 2269 646d 3935  lapse" id="idm95
│ │ │ +00077910: 3338 223e 3c74 6162 6c65 2063 6c61 7373  38"><table class
│ │ │ +00077920: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00077930: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00077940: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00077950: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00077960: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00077970: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00077980: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00077990: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000779a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000779b0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000779c0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000779d0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +000779e0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +000779f0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00077a00: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00077a10: 7564 6520 696e 7374 616c 6c5f 6372 6f6e  ude install_cron
│ │ │ +00077a20: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ +00077a30: 6372 6f6e 207b 0a20 2070 6163 6b61 6765  cron {.  package
│ │ │ +00077a40: 207b 2027 6372 6f6e 273a 0a20 2020 2065   { 'cron':.    e
│ │ │ +00077a50: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +00077a60: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │  00077a70: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00077a80: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  00077a90: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  00077aa0: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  00077ab0: 6461 7461 2d74 742d 6964 3d22 6368 696c  data-tt-id="chil
│ │ │  00077ac0: 6472 656e 2d78 6363 6466 5f6f 7267 2e73  dren-xccdf_org.s
│ │ │  00077ad0: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │ @@ -30912,147 +30912,147 @@
│ │ │  00078bf0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00078c00: 2223 6964 6d39 3732 3622 2074 6162 696e  "#idm9726" tabin
│ │ │  00078c10: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00078c20: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00078c30: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00078c40: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00078c50: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00078c60: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00078c70: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00078c80: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00078c90: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00078ca0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00078cb0: 6964 6d39 3732 3622 3e3c 7461 626c 6520  idm9726"><table 
│ │ │ -00078cc0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00078cd0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00078ce0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00078cf0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00078d00: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00078d10: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00078d20: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00078d30: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00078d40: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00078d50: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00078d60: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00078d70: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00078d80: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00078d90: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00078da0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00078db0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -00078dc0: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ -00078dd0: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ -00078de0: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ -00078df0: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ -00078e00: 2027 696e 6574 7574 696c 732d 7465 6c6e   'inetutils-teln
│ │ │ -00078e10: 6574 6427 3a0a 2020 2020 656e 7375 7265  etd':.    ensure
│ │ │ -00078e20: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ -00078e30: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -00078e40: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00078e50: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00078e60: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00078e70: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00078e80: 2d74 6172 6765 743d 2223 6964 6d39 3732  -target="#idm972
│ │ │ -00078e90: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ -00078ea0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00078eb0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00078ec0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00078ed0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00078ee0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00078ef0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00078f00: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00078f10: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00078f20: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00078f30: 7073 6522 2069 643d 2269 646d 3937 3237  pse" id="idm9727
│ │ │ -00078f40: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00078f50: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00078f60: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00078f70: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00078f80: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00078f90: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00078fa0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00078fb0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00078fc0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00078fd0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00078fe0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00078ff0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00079000: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00079010: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00079020: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00079030: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00079040: 653a 2045 6e73 7572 6520 696e 6574 7574  e: Ensure inetut
│ │ │ -00079050: 696c 732d 7465 6c6e 6574 6420 6973 2072  ils-telnetd is r
│ │ │ -00079060: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00079070: 3a0a 2020 2020 6e61 6d65 3a20 696e 6574  :.    name: inet
│ │ │ -00079080: 7574 696c 732d 7465 6c6e 6574 640a 2020  utils-telnetd.  
│ │ │ -00079090: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -000790a0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -000790b0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -000790c0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -000790d0: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -000790e0: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -000790f0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00079100: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -00079110: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -00079120: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00079130: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00079140: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00079150: 640a 2020 2d20 7061 636b 6167 655f 696e  d.  - package_in
│ │ │ -00079160: 6574 7574 696c 732d 7465 6c6e 6574 645f  etutils-telnetd_
│ │ │ -00079170: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -00079180: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00079190: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000791a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000791b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000791c0: 612d 7461 7267 6574 3d22 2369 646d 3937  a-target="#idm97
│ │ │ -000791d0: 3238 2220 7461 6269 6e64 6578 3d22 3022  28" tabindex="0"
│ │ │ -000791e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -000791f0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00079200: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00079210: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00079220: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00079230: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -00079240: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -00079250: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00079260: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00079270: 6522 2069 643d 2269 646d 3937 3238 223e  e" id="idm9728">
│ │ │ -00079280: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00079290: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -000792a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -000792b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -000792c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -000792d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -000792e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000792f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00079300: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079310: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00079320: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00079330: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00079340: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00079350: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00079360: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00079370: 7265 3e3c 636f 6465 3e0a 2320 4341 5554  re><code>.# CAUT
│ │ │ -00079380: 494f 4e3a 2054 6869 7320 7265 6d65 6469  ION: This remedi
│ │ │ -00079390: 6174 696f 6e20 7363 7269 7074 2077 696c  ation script wil
│ │ │ -000793a0: 6c20 7265 6d6f 7665 2069 6e65 7475 7469  l remove inetuti
│ │ │ -000793b0: 6c73 2d74 656c 6e65 7464 0a23 0920 2020  ls-telnetd.#.   
│ │ │ -000793c0: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ -000793d0: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ -000793e0: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ -000793f0: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ -00079400: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ -00079410: 7464 2e20 4578 6563 7574 6520 7468 6973  td. Execute this
│ │ │ -00079420: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ -00079430: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ -00079440: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ -00079450: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ -00079460: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -00079470: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -00079480: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ -00079490: 2d79 2022 696e 6574 7574 696c 732d 7465  -y "inetutils-te
│ │ │ -000794a0: 6c6e 6574 6422 0a3c 2f63 6f64 653e 3c2f  lnetd".</code></
│ │ │ +00078c60: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00078c70: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00078c80: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00078c90: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00078ca0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00078cb0: 2269 646d 3937 3236 223e 3c74 6162 6c65  "idm9726"><table
│ │ │ +00078cc0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00078cd0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00078ce0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00078cf0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00078d00: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00078d10: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078d20: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00078d30: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00078d40: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00078d50: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00078d60: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00078d70: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00078d80: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00078d90: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00078da0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00078db0: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +00078dc0: 6520 696e 6574 7574 696c 732d 7465 6c6e  e inetutils-teln
│ │ │ +00078dd0: 6574 6420 6973 2072 656d 6f76 6564 0a20  etd is removed. 
│ │ │ +00078de0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00078df0: 6d65 3a20 696e 6574 7574 696c 732d 7465  me: inetutils-te
│ │ │ +00078e00: 6c6e 6574 640a 2020 2020 7374 6174 653a  lnetd.    state:
│ │ │ +00078e10: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +00078e20: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00078e30: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +00078e40: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ +00078e50: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00078e60: 434d 2d37 2862 290a 2020 2d20 6469 7361  CM-7(b).  - disa
│ │ │ +00078e70: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00078e80: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ +00078e90: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00078ea0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00078eb0: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ +00078ec0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00078ed0: 636b 6167 655f 696e 6574 7574 696c 732d  ckage_inetutils-
│ │ │ +00078ee0: 7465 6c6e 6574 645f 7265 6d6f 7665 640a  telnetd_removed.
│ │ │ +00078ef0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00078f00: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00078f10: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00078f20: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00078f30: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00078f40: 3d22 2369 646d 3937 3237 2220 7461 6269  ="#idm9727" tabi
│ │ │ +00078f50: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00078f60: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00078f70: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00078f80: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00078f90: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00078fa0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +00078fb0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +00078fc0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00078fd0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00078fe0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00078ff0: 646d 3937 3237 223e 3c74 6162 6c65 2063  dm9727"><table c
│ │ │ +00079000: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00079010: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00079020: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00079030: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00079040: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00079050: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00079060: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00079070: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00079080: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00079090: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +000790a0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +000790b0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000790c0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +000790d0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +000790e0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +000790f0: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ +00079100: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +00079110: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +00079120: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ +00079130: 7464 0a23 0920 2020 6672 6f6d 2074 6865  td.#.   from the
│ │ │ +00079140: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +00079150: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +00079160: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +00079170: 6570 656e 6420 6f6e 2069 6e65 7475 7469  epend on inetuti
│ │ │ +00079180: 6c73 2d74 656c 6e65 7464 2e20 4578 6563  ls-telnetd. Exec
│ │ │ +00079190: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ +000791a0: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ +000791b0: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ +000791c0: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ +000791d0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ +000791e0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ +000791f0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ +00079200: 2072 656d 6f76 6520 2d79 2022 696e 6574   remove -y "inet
│ │ │ +00079210: 7574 696c 732d 7465 6c6e 6574 6422 0a3c  utils-telnetd".<
│ │ │ +00079220: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00079230: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00079240: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00079250: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00079260: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00079270: 2223 6964 6d39 3732 3822 2074 6162 696e  "#idm9728" tabin
│ │ │ +00079280: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00079290: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000792a0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000792b0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000792c0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000792d0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +000792e0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +000792f0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00079300: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00079310: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00079320: 6964 6d39 3732 3822 3e3c 7461 626c 6520  idm9728"><table 
│ │ │ +00079330: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00079340: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00079350: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00079360: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00079370: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00079380: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00079390: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000793a0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000793b0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000793c0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000793d0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000793e0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +000793f0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00079400: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00079410: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00079420: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +00079430: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ +00079440: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ +00079450: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ +00079460: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ +00079470: 2027 696e 6574 7574 696c 732d 7465 6c6e   'inetutils-teln
│ │ │ +00079480: 6574 6427 3a0a 2020 2020 656e 7375 7265  etd':.    ensure
│ │ │ +00079490: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +000794a0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  000794b0: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  000794c0: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  000794d0: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  000794e0: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  000794f0: 6964 3d22 7863 6364 665f 6f72 672e 7373  id="xccdf_org.ss
│ │ │  00079500: 6770 726f 6a65 6374 2e63 6f6e 7465 6e74  gproject.content
│ │ │  00079510: 5f72 756c 655f 7061 636b 6167 655f 6e69  _rule_package_ni
│ │ │ @@ -31147,134 +31147,134 @@
│ │ │  00079aa0: 2d74 6172 6765 743d 2223 6964 6d39 3733  -target="#idm973
│ │ │  00079ab0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │  00079ac0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00079ad0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  00079ae0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  00079af0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00079b00: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00079b10: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00079b20: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00079b30: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00079b40: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00079b50: 7365 2220 6964 3d22 6964 6d39 3733 3522  se" id="idm9735"
│ │ │ -00079b60: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00079b70: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00079b80: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00079b90: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00079ba0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00079bb0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00079bc0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00079bd0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00079be0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00079bf0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00079c00: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00079c10: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00079c20: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00079c30: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00079c40: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00079c50: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00079c60: 6520 7265 6d6f 7665 5f6e 6973 0a0a 636c  e remove_nis..cl
│ │ │ -00079c70: 6173 7320 7265 6d6f 7665 5f6e 6973 207b  ass remove_nis {
│ │ │ -00079c80: 0a20 2070 6163 6b61 6765 207b 2027 6e69  .  package { 'ni
│ │ │ -00079c90: 7327 3a0a 2020 2020 656e 7375 7265 203d  s':.    ensure =
│ │ │ -00079ca0: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00079cb0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00079cc0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00079cd0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00079ce0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00079cf0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00079d00: 6172 6765 743d 2223 6964 6d39 3733 3622  arget="#idm9736"
│ │ │ -00079d10: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00079d20: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00079d30: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00079d40: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00079d50: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00079d60: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00079d70: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00079d80: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00079d90: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00079da0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00079db0: 6522 2069 643d 2269 646d 3937 3336 223e  e" id="idm9736">
│ │ │ -00079dc0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00079dd0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00079de0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00079df0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00079e00: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00079e10: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00079e20: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00079e30: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00079e40: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079e50: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00079e60: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00079e70: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00079e80: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00079e90: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00079ea0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00079eb0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00079ec0: 2045 6e73 7572 6520 6e69 7320 6973 2072   Ensure nis is r
│ │ │ -00079ed0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00079ee0: 3a0a 2020 2020 6e61 6d65 3a20 6e69 730a  :.    name: nis.
│ │ │ -00079ef0: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -00079f00: 740a 2020 7461 6773 3a0a 2020 2d20 6469  t.  tags:.  - di
│ │ │ -00079f10: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -00079f20: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00079f30: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00079f40: 7469 6f6e 0a20 202d 206c 6f77 5f73 6576  tion.  - low_sev
│ │ │ -00079f50: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00079f60: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00079f70: 6163 6b61 6765 5f6e 6973 5f72 656d 6f76  ackage_nis_remov
│ │ │ -00079f80: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -00079f90: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00079fa0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00079fb0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00079fc0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00079fd0: 6765 743d 2223 6964 6d39 3733 3722 2074  get="#idm9737" t
│ │ │ -00079fe0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00079ff0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007a000: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007a010: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007a020: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007a030: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007a040: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -0007a050: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007a060: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007a070: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007a080: 3d22 6964 6d39 3733 3722 3e3c 7461 626c  ="idm9737"><tabl
│ │ │ -0007a090: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0007a0a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0007a0b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0007a0c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0007a0d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0007a0e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0007a0f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0007a100: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0007a110: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0007a120: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0007a130: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0007a140: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0007a150: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0007a160: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -0007a170: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007a180: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -0007a190: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -0007a1a0: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -0007a1b0: 6f76 6520 6e69 730a 2309 2020 2066 726f  ove nis.#.   fro
│ │ │ -0007a1c0: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ -0007a1d0: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ -0007a1e0: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ -0007a1f0: 6861 7420 6465 7065 6e64 206f 6e20 6e69  hat depend on ni
│ │ │ -0007a200: 732e 2045 7865 6375 7465 2074 6869 730a  s. Execute this.
│ │ │ -0007a210: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ -0007a220: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ -0007a230: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ -0007a240: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ -0007a250: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -0007a260: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -0007a270: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ -0007a280: 7920 226e 6973 220a 3c2f 636f 6465 3e3c  y "nis".</code><
│ │ │ +00079b10: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00079b20: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00079b30: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00079b40: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00079b50: 7073 6522 2069 643d 2269 646d 3937 3335  pse" id="idm9735
│ │ │ +00079b60: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00079b70: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00079b80: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00079b90: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00079ba0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00079bb0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00079bc0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00079bd0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00079be0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00079bf0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00079c00: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00079c10: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00079c20: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00079c30: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +00079c40: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00079c50: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +00079c60: 653a 2045 6e73 7572 6520 6e69 7320 6973  e: Ensure nis is
│ │ │ +00079c70: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +00079c80: 6765 3a0a 2020 2020 6e61 6d65 3a20 6e69  ge:.    name: ni
│ │ │ +00079c90: 730a 2020 2020 7374 6174 653a 2061 6273  s.    state: abs
│ │ │ +00079ca0: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +00079cb0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00079cc0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00079cd0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00079ce0: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ +00079cf0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00079d00: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00079d10: 2070 6163 6b61 6765 5f6e 6973 5f72 656d   package_nis_rem
│ │ │ +00079d20: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +00079d30: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00079d40: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00079d50: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00079d60: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00079d70: 6172 6765 743d 2223 6964 6d39 3733 3622  arget="#idm9736"
│ │ │ +00079d80: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00079d90: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00079da0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00079db0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00079dc0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00079dd0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00079de0: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +00079df0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00079e00: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00079e10: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00079e20: 6964 3d22 6964 6d39 3733 3622 3e3c 7461  id="idm9736"><ta
│ │ │ +00079e30: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00079e40: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00079e50: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00079e60: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00079e70: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00079e80: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00079e90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00079ea0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00079eb0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00079ec0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00079ed0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00079ee0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00079ef0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00079f00: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00079f10: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00079f20: 3c63 6f64 653e 0a23 2043 4155 5449 4f4e  <code>.# CAUTION
│ │ │ +00079f30: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ +00079f40: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ +00079f50: 656d 6f76 6520 6e69 730a 2309 2020 2066  emove nis.#.   f
│ │ │ +00079f60: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ +00079f70: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ +00079f80: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ +00079f90: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ +00079fa0: 6e69 732e 2045 7865 6375 7465 2074 6869  nis. Execute thi
│ │ │ +00079fb0: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ +00079fc0: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ +00079fd0: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ +00079fe0: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ +00079ff0: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ +0007a000: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +0007a010: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ +0007a020: 202d 7920 226e 6973 220a 3c2f 636f 6465   -y "nis".</code
│ │ │ +0007a030: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007a040: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007a050: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007a060: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007a070: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007a080: 3937 3337 2220 7461 6269 6e64 6578 3d22  9737" tabindex="
│ │ │ +0007a090: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007a0a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007a0b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007a0c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007a0d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007a0e0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0007a0f0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007a100: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007a110: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007a120: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ +0007a130: 3337 223e 3c74 6162 6c65 2063 6c61 7373  37"><table class
│ │ │ +0007a140: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007a150: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007a160: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007a170: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007a180: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007a190: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007a1a0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007a1b0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007a1c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007a1d0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007a1e0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007a1f0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007a200: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007a210: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007a220: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0007a230: 6c75 6465 2072 656d 6f76 655f 6e69 730a  lude remove_nis.
│ │ │ +0007a240: 0a63 6c61 7373 2072 656d 6f76 655f 6e69  .class remove_ni
│ │ │ +0007a250: 7320 7b0a 2020 7061 636b 6167 6520 7b20  s {.  package { 
│ │ │ +0007a260: 276e 6973 273a 0a20 2020 2065 6e73 7572  'nis':.    ensur
│ │ │ +0007a270: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +0007a280: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0007a290: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  0007a2a0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  0007a2b0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  0007a2c0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  0007a2d0: 2d69 643d 2278 6363 6466 5f6f 7267 2e73  -id="xccdf_org.s
│ │ │  0007a2e0: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │  0007a2f0: 745f 7275 6c65 5f70 6163 6b61 6765 5f6e  t_rule_package_n
│ │ │ @@ -31370,136 +31370,136 @@
│ │ │  0007a890: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │  0007a8a0: 3734 3422 2074 6162 696e 6465 783d 2230  744" tabindex="0
│ │ │  0007a8b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  0007a8c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  0007a8d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  0007a8e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  0007a8f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007a900: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -0007a910: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0007a920: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0007a930: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0007a940: 6170 7365 2220 6964 3d22 6964 6d39 3734  apse" id="idm974
│ │ │ -0007a950: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ -0007a960: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007a970: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007a980: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007a990: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007a9a0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007a9b0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007a9c0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007a9d0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007a9e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007a9f0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007aa00: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007aa10: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007aa20: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0007aa30: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0007aa40: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0007aa50: 7564 6520 7265 6d6f 7665 5f6e 7470 6461  ude remove_ntpda
│ │ │ -0007aa60: 7465 0a0a 636c 6173 7320 7265 6d6f 7665  te..class remove
│ │ │ -0007aa70: 5f6e 7470 6461 7465 207b 0a20 2070 6163  _ntpdate {.  pac
│ │ │ -0007aa80: 6b61 6765 207b 2027 6e74 7064 6174 6527  kage { 'ntpdate'
│ │ │ -0007aa90: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0007aaa0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -0007aab0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0007aac0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0007aad0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0007aae0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0007aaf0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0007ab00: 6765 743d 2223 6964 6d39 3734 3522 2074  get="#idm9745" t
│ │ │ -0007ab10: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007ab20: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007ab30: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007ab40: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007ab50: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007ab60: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007ab70: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0007ab80: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0007ab90: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0007aba0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0007abb0: 2069 643d 2269 646d 3937 3435 223e 3c74   id="idm9745"><t
│ │ │ -0007abc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007abd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007abe0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007abf0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007ac00: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007ac10: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007ac20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ac30: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007ac40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007ac50: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007ac60: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007ac70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ac80: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007ac90: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -0007aca0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0007acb0: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -0007acc0: 6e73 7572 6520 6e74 7064 6174 6520 6973  nsure ntpdate is
│ │ │ -0007acd0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ -0007ace0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6e74  ge:.    name: nt
│ │ │ -0007acf0: 7064 6174 650a 2020 2020 7374 6174 653a  pdate.    state:
│ │ │ -0007ad00: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -0007ad10: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0007ad20: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -0007ad30: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0007ad40: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -0007ad50: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -0007ad60: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0007ad70: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ -0007ad80: 6461 7465 5f72 656d 6f76 6564 0a3c 2f63  date_removed.</c
│ │ │ -0007ad90: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0007ada0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0007adb0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0007adc0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0007add0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0007ade0: 6964 6d39 3734 3622 2074 6162 696e 6465  idm9746" tabinde
│ │ │ -0007adf0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0007ae00: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0007ae10: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0007ae20: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0007ae30: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0007ae40: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -0007ae50: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -0007ae60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0007ae70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0007ae80: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ -0007ae90: 3734 3622 3e3c 7461 626c 6520 636c 6173  746"><table clas
│ │ │ -0007aea0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0007aeb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0007aec0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0007aed0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0007aee0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0007aef0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007af00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0007af10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0007af20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007af30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0007af40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0007af50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0007af60: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -0007af70: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0007af80: 6c65 3e3c 7072 653e 3c63 6f64 653e 0a23  le><pre><code>.#
│ │ │ -0007af90: 2043 4155 5449 4f4e 3a20 5468 6973 2072   CAUTION: This r
│ │ │ -0007afa0: 656d 6564 6961 7469 6f6e 2073 6372 6970  emediation scrip
│ │ │ -0007afb0: 7420 7769 6c6c 2072 656d 6f76 6520 6e74  t will remove nt
│ │ │ -0007afc0: 7064 6174 650a 2309 2020 2066 726f 6d20  pdate.#.   from 
│ │ │ -0007afd0: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -0007afe0: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -0007aff0: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -0007b000: 7420 6465 7065 6e64 206f 6e20 6e74 7064  t depend on ntpd
│ │ │ -0007b010: 6174 652e 2045 7865 6375 7465 2074 6869  ate. Execute thi
│ │ │ -0007b020: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ -0007b030: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ -0007b040: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ -0007b050: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ -0007b060: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ -0007b070: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -0007b080: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ -0007b090: 202d 7920 226e 7470 6461 7465 220a 3c2f   -y "ntpdate".</
│ │ │ +0007a900: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +0007a910: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007a920: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007a930: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007a940: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ +0007a950: 3434 223e 3c74 6162 6c65 2063 6c61 7373  44"><table class
│ │ │ +0007a960: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007a970: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007a980: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007a990: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007a9a0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007a9b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007a9c0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007a9d0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007a9e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007a9f0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007aa00: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007aa10: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007aa20: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007aa30: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007aa40: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0007aa50: 616d 653a 2045 6e73 7572 6520 6e74 7064  ame: Ensure ntpd
│ │ │ +0007aa60: 6174 6520 6973 2072 656d 6f76 6564 0a20  ate is removed. 
│ │ │ +0007aa70: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0007aa80: 6d65 3a20 6e74 7064 6174 650a 2020 2020  me: ntpdate.    
│ │ │ +0007aa90: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +0007aaa0: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ +0007aab0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +0007aac0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0007aad0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0007aae0: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ +0007aaf0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0007ab00: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0007ab10: 6765 5f6e 7470 6461 7465 5f72 656d 6f76  ge_ntpdate_remov
│ │ │ +0007ab20: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0007ab30: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0007ab40: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0007ab50: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0007ab60: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0007ab70: 6765 743d 2223 6964 6d39 3734 3522 2074  get="#idm9745" t
│ │ │ +0007ab80: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0007ab90: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0007aba0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0007abb0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0007abc0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0007abd0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0007abe0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +0007abf0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0007ac00: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0007ac10: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0007ac20: 3d22 6964 6d39 3734 3522 3e3c 7461 626c  ="idm9745"><tabl
│ │ │ +0007ac30: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0007ac40: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0007ac50: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0007ac60: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0007ac70: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0007ac80: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0007ac90: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0007aca0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0007acb0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007acc0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0007acd0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0007ace0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0007acf0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0007ad00: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +0007ad10: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0007ad20: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ +0007ad30: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ +0007ad40: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ +0007ad50: 6f76 6520 6e74 7064 6174 650a 2309 2020  ove ntpdate.#.  
│ │ │ +0007ad60: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ +0007ad70: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ +0007ad80: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ +0007ad90: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ +0007ada0: 6e20 6e74 7064 6174 652e 2045 7865 6375  n ntpdate. Execu
│ │ │ +0007adb0: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ +0007adc0: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ +0007add0: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ +0007ade0: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ +0007adf0: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ +0007ae00: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +0007ae10: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +0007ae20: 7265 6d6f 7665 202d 7920 226e 7470 6461  remove -y "ntpda
│ │ │ +0007ae30: 7465 220a 3c2f 636f 6465 3e3c 2f70 7265  te".</code></pre
│ │ │ +0007ae40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0007ae50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0007ae60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0007ae70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0007ae80: 7267 6574 3d22 2369 646d 3937 3436 2220  rget="#idm9746" 
│ │ │ +0007ae90: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0007aea0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0007aeb0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0007aec0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0007aed0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0007aee0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0007aef0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +0007af00: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0007af10: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0007af20: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0007af30: 2069 643d 2269 646d 3937 3436 223e 3c74   id="idm9746"><t
│ │ │ +0007af40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0007af50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0007af60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0007af70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0007af80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0007af90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0007afa0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007afb0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0007afc0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007afd0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0007afe0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0007aff0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007b000: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0007b010: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0007b020: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007b030: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ +0007b040: 656d 6f76 655f 6e74 7064 6174 650a 0a63  emove_ntpdate..c
│ │ │ +0007b050: 6c61 7373 2072 656d 6f76 655f 6e74 7064  lass remove_ntpd
│ │ │ +0007b060: 6174 6520 7b0a 2020 7061 636b 6167 6520  ate {.  package 
│ │ │ +0007b070: 7b20 276e 7470 6461 7465 273a 0a20 2020  { 'ntpdate':.   
│ │ │ +0007b080: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +0007b090: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  0007b0a0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  0007b0b0: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  0007b0c0: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  0007b0d0: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  0007b0e0: 6174 612d 7474 2d69 643d 2278 6363 6466  ata-tt-id="xccdf
│ │ │  0007b0f0: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  0007b100: 636f 6e74 656e 745f 7275 6c65 5f70 6163  content_rule_pac
│ │ │ @@ -31711,143 +31711,143 @@
│ │ │  0007bde0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0007bdf0: 6964 6d39 3834 3522 2074 6162 696e 6465  idm9845" tabinde
│ │ │  0007be00: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0007be10: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0007be20: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0007be30: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0007be40: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0007be50: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0007be60: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0007be70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007be80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007be90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007bea0: 6d39 3834 3522 3e3c 7461 626c 6520 636c  m9845"><table cl
│ │ │ -0007beb0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0007bec0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0007bed0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0007bee0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0007bef0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0007bf00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007bf10: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0007bf20: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0007bf30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007bf40: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0007bf50: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0007bf60: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0007bf70: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0007bf80: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0007bf90: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0007bfa0: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ -0007bfb0: 656c 6e65 7464 2d73 736c 0a0a 636c 6173  elnetd-ssl..clas
│ │ │ -0007bfc0: 7320 7265 6d6f 7665 5f74 656c 6e65 7464  s remove_telnetd
│ │ │ -0007bfd0: 2d73 736c 207b 0a20 2070 6163 6b61 6765  -ssl {.  package
│ │ │ -0007bfe0: 207b 2027 7465 6c6e 6574 642d 7373 6c27   { 'telnetd-ssl'
│ │ │ -0007bff0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0007c000: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -0007c010: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0007c020: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0007c030: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0007c040: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0007c050: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0007c060: 6765 743d 2223 6964 6d39 3834 3622 2074  get="#idm9846" t
│ │ │ -0007c070: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007c080: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007c090: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007c0a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007c0b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007c0c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007c0d0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0007c0e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0007c0f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0007c100: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0007c110: 2069 643d 2269 646d 3938 3436 223e 3c74   id="idm9846"><t
│ │ │ -0007c120: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007c130: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007c140: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007c150: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007c160: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007c170: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007c180: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007c190: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007c1a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007c1b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007c1c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007c1d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007c1e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007c1f0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -0007c200: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0007c210: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -0007c220: 6e73 7572 6520 7465 6c6e 6574 642d 7373  nsure telnetd-ss
│ │ │ -0007c230: 6c20 6973 2072 656d 6f76 6564 0a20 2070  l is removed.  p
│ │ │ -0007c240: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -0007c250: 3a20 7465 6c6e 6574 642d 7373 6c0a 2020  : telnetd-ssl.  
│ │ │ -0007c260: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -0007c270: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -0007c280: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0007c290: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007c2a0: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -0007c2b0: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -0007c2c0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0007c2d0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -0007c2e0: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -0007c2f0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0007c300: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0007c310: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0007c320: 640a 2020 2d20 7061 636b 6167 655f 7465  d.  - package_te
│ │ │ -0007c330: 6c6e 6574 642d 7373 6c5f 7265 6d6f 7665  lnetd-ssl_remove
│ │ │ -0007c340: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -0007c350: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0007c360: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0007c370: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0007c380: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0007c390: 6574 3d22 2369 646d 3938 3437 2220 7461  et="#idm9847" ta
│ │ │ -0007c3a0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0007c3b0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0007c3c0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0007c3d0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0007c3e0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0007c3f0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007c400: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -0007c410: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0007c420: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0007c430: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0007c440: 2269 646d 3938 3437 223e 3c74 6162 6c65  "idm9847"><table
│ │ │ -0007c450: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0007c460: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0007c470: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0007c480: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0007c490: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0007c4a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007c4b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0007c4c0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0007c4d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007c4e0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0007c4f0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0007c500: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0007c510: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -0007c520: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -0007c530: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0007c540: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ -0007c550: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ -0007c560: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ -0007c570: 7665 2074 656c 6e65 7464 2d73 736c 0a23  ve telnetd-ssl.#
│ │ │ -0007c580: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -0007c590: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -0007c5a0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -0007c5b0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -0007c5c0: 6420 6f6e 2074 656c 6e65 7464 2d73 736c  d on telnetd-ssl
│ │ │ -0007c5d0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -0007c5e0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -0007c5f0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -0007c600: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -0007c610: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -0007c620: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -0007c630: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -0007c640: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -0007c650: 2022 7465 6c6e 6574 642d 7373 6c22 0a3c   "telnetd-ssl".<
│ │ │ +0007be50: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0007be60: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0007be70: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0007be80: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0007be90: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0007bea0: 646d 3938 3435 223e 3c74 6162 6c65 2063  dm9845"><table c
│ │ │ +0007beb0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0007bec0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0007bed0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0007bee0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0007bef0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0007bf00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0007bf10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0007bf20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0007bf30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0007bf40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0007bf50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0007bf60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0007bf70: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0007bf80: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0007bf90: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0007bfa0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +0007bfb0: 7465 6c6e 6574 642d 7373 6c20 6973 2072  telnetd-ssl is r
│ │ │ +0007bfc0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ +0007bfd0: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ +0007bfe0: 6574 642d 7373 6c0a 2020 2020 7374 6174  etd-ssl.    stat
│ │ │ +0007bff0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +0007c000: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0007c010: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ +0007c020: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ +0007c030: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0007c040: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ +0007c050: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +0007c060: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +0007c070: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0007c080: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0007c090: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +0007c0a0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0007c0b0: 7061 636b 6167 655f 7465 6c6e 6574 642d  package_telnetd-
│ │ │ +0007c0c0: 7373 6c5f 7265 6d6f 7665 640a 3c2f 636f  ssl_removed.</co
│ │ │ +0007c0d0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0007c0e0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0007c0f0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0007c100: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0007c110: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0007c120: 646d 3938 3436 2220 7461 6269 6e64 6578  dm9846" tabindex
│ │ │ +0007c130: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0007c140: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0007c150: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0007c160: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0007c170: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0007c180: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +0007c190: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +0007c1a0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007c1b0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007c1c0: 6c61 7073 6522 2069 643d 2269 646d 3938  lapse" id="idm98
│ │ │ +0007c1d0: 3436 223e 3c74 6162 6c65 2063 6c61 7373  46"><table class
│ │ │ +0007c1e0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007c1f0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007c200: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007c210: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007c220: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007c230: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007c240: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007c250: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007c260: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007c270: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007c280: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007c290: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007c2a0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007c2b0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007c2c0: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ +0007c2d0: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ +0007c2e0: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ +0007c2f0: 2077 696c 6c20 7265 6d6f 7665 2074 656c   will remove tel
│ │ │ +0007c300: 6e65 7464 2d73 736c 0a23 0920 2020 6672  netd-ssl.#.   fr
│ │ │ +0007c310: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +0007c320: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +0007c330: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +0007c340: 7468 6174 2064 6570 656e 6420 6f6e 2074  that depend on t
│ │ │ +0007c350: 656c 6e65 7464 2d73 736c 2e20 4578 6563  elnetd-ssl. Exec
│ │ │ +0007c360: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ +0007c370: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ +0007c380: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ +0007c390: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ +0007c3a0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ +0007c3b0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ +0007c3c0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ +0007c3d0: 2072 656d 6f76 6520 2d79 2022 7465 6c6e   remove -y "teln
│ │ │ +0007c3e0: 6574 642d 7373 6c22 0a3c 2f63 6f64 653e  etd-ssl".</code>
│ │ │ +0007c3f0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007c400: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007c410: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007c420: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007c430: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +0007c440: 3834 3722 2074 6162 696e 6465 783d 2230  847" tabindex="0
│ │ │ +0007c450: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0007c460: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0007c470: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0007c480: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0007c490: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0007c4a0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0007c4b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007c4c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007c4d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007c4e0: 6170 7365 2220 6964 3d22 6964 6d39 3834  apse" id="idm984
│ │ │ +0007c4f0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +0007c500: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0007c510: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0007c520: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0007c530: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0007c540: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0007c550: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007c560: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0007c570: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007c580: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0007c590: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0007c5a0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0007c5b0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0007c5c0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0007c5d0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0007c5e0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +0007c5f0: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ +0007c600: 7464 2d73 736c 0a0a 636c 6173 7320 7265  td-ssl..class re
│ │ │ +0007c610: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ +0007c620: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0007c630: 7465 6c6e 6574 642d 7373 6c27 3a0a 2020  telnetd-ssl':.  
│ │ │ +0007c640: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +0007c650: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  0007c660: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0007c670: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0007c680: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0007c690: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0007c6a0: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  0007c6b0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0007c6c0: 2e63 6f6e 7465 6e74 5f72 756c 655f 7061  .content_rule_pa
│ │ │ @@ -32059,141 +32059,141 @@
│ │ │  0007d3a0: 7461 7267 6574 3d22 2369 646d 3939 3435  target="#idm9945
│ │ │  0007d3b0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  0007d3c0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  0007d3d0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  0007d3e0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  0007d3f0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  0007d400: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0007d410: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -0007d420: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0007d430: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0007d440: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0007d450: 6522 2069 643d 2269 646d 3939 3435 223e  e" id="idm9945">
│ │ │ -0007d460: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007d470: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007d480: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007d490: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007d4a0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007d4b0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007d4c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007d4d0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007d4e0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007d4f0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007d500: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007d510: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007d520: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007d530: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0007d540: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0007d550: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -0007d560: 2072 656d 6f76 655f 7465 6c6e 6574 640a   remove_telnetd.
│ │ │ -0007d570: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ -0007d580: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ -0007d590: 6520 7b20 2774 656c 6e65 7464 273a 0a20  e { 'telnetd':. 
│ │ │ -0007d5a0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -0007d5b0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -0007d5c0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0007d5d0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0007d5e0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0007d5f0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0007d600: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0007d610: 3d22 2369 646d 3939 3436 2220 7461 6269  ="#idm9946" tabi
│ │ │ -0007d620: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007d630: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007d640: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007d650: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007d660: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007d670: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0007d680: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0007d690: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007d6a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007d6b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007d6c0: 3d22 6964 6d39 3934 3622 3e3c 7461 626c  ="idm9946"><tabl
│ │ │ -0007d6d0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0007d6e0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0007d6f0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0007d700: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0007d710: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0007d720: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0007d730: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0007d740: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0007d750: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0007d760: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0007d770: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0007d780: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0007d790: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0007d7a0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -0007d7b0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007d7c0: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -0007d7d0: 7265 2074 656c 6e65 7464 2069 7320 7265  re telnetd is re
│ │ │ -0007d7e0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -0007d7f0: 0a20 2020 206e 616d 653a 2074 656c 6e65  .    name: telne
│ │ │ -0007d800: 7464 0a20 2020 2073 7461 7465 3a20 6162  td.    state: ab
│ │ │ -0007d810: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -0007d820: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -0007d830: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -0007d840: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -0007d850: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -0007d860: 3728 6229 0a20 202d 2064 6973 6162 6c65  7(b).  - disable
│ │ │ -0007d870: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -0007d880: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -0007d890: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0007d8a0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0007d8b0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -0007d8c0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0007d8d0: 6765 5f74 656c 6e65 7464 5f72 656d 6f76  ge_telnetd_remov
│ │ │ -0007d8e0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -0007d8f0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0007d900: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0007d910: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0007d920: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0007d930: 6765 743d 2223 6964 6d39 3934 3722 2074  get="#idm9947" t
│ │ │ -0007d940: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007d950: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007d960: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007d970: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007d980: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007d990: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007d9a0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -0007d9b0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007d9c0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007d9d0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007d9e0: 3d22 6964 6d39 3934 3722 3e3c 7461 626c  ="idm9947"><tabl
│ │ │ -0007d9f0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0007da00: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0007da10: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0007da20: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0007da30: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0007da40: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0007da50: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0007da60: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0007da70: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0007da80: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0007da90: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0007daa0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0007dab0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0007dac0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -0007dad0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007dae0: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -0007daf0: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -0007db00: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -0007db10: 6f76 6520 7465 6c6e 6574 640a 2309 2020  ove telnetd.#.  
│ │ │ -0007db20: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -0007db30: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -0007db40: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -0007db50: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -0007db60: 6e20 7465 6c6e 6574 642e 2045 7865 6375  n telnetd. Execu
│ │ │ -0007db70: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ -0007db80: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ -0007db90: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ -0007dba0: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ -0007dbb0: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ -0007dbc0: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -0007dbd0: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -0007dbe0: 7265 6d6f 7665 202d 7920 2274 656c 6e65  remove -y "telne
│ │ │ -0007dbf0: 7464 220a 3c2f 636f 6465 3e3c 2f70 7265  td".</code></pre
│ │ │ +0007d410: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +0007d420: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0007d430: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0007d440: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0007d450: 7365 2220 6964 3d22 6964 6d39 3934 3522  se" id="idm9945"
│ │ │ +0007d460: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0007d470: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0007d480: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0007d490: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0007d4a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0007d4b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0007d4c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0007d4d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0007d4e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007d4f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0007d500: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0007d510: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0007d520: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0007d530: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0007d540: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0007d550: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0007d560: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ +0007d570: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +0007d580: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0007d590: 2074 656c 6e65 7464 0a20 2020 2073 7461   telnetd.    sta
│ │ │ +0007d5a0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +0007d5b0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0007d5c0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +0007d5d0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +0007d5e0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +0007d5f0: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +0007d600: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0007d610: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +0007d620: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0007d630: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0007d640: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +0007d650: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0007d660: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ +0007d670: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +0007d680: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007d690: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007d6a0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007d6b0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007d6c0: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +0007d6d0: 3934 3622 2074 6162 696e 6465 783d 2230  946" tabindex="0
│ │ │ +0007d6e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0007d6f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0007d700: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0007d710: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0007d720: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0007d730: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +0007d740: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +0007d750: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0007d760: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0007d770: 7365 2220 6964 3d22 6964 6d39 3934 3622  se" id="idm9946"
│ │ │ +0007d780: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0007d790: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0007d7a0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0007d7b0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0007d7c0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0007d7d0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0007d7e0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0007d7f0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0007d800: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007d810: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0007d820: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0007d830: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0007d840: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0007d850: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0007d860: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0007d870: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ +0007d880: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ +0007d890: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ +0007d8a0: 6c6c 2072 656d 6f76 6520 7465 6c6e 6574  ll remove telnet
│ │ │ +0007d8b0: 640a 2309 2020 2066 726f 6d20 7468 6520  d.#.   from the 
│ │ │ +0007d8c0: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ +0007d8d0: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ +0007d8e0: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ +0007d8f0: 7065 6e64 206f 6e20 7465 6c6e 6574 642e  pend on telnetd.
│ │ │ +0007d900: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ +0007d910: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ +0007d920: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ +0007d930: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ +0007d940: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ +0007d950: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +0007d960: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +0007d970: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ +0007d980: 2274 656c 6e65 7464 220a 3c2f 636f 6465  "telnetd".</code
│ │ │ +0007d990: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007d9a0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007d9b0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007d9c0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007d9d0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007d9e0: 3939 3437 2220 7461 6269 6e64 6578 3d22  9947" tabindex="
│ │ │ +0007d9f0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007da00: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007da10: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007da20: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007da30: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007da40: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0007da50: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007da60: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007da70: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007da80: 6c61 7073 6522 2069 643d 2269 646d 3939  lapse" id="idm99
│ │ │ +0007da90: 3437 223e 3c74 6162 6c65 2063 6c61 7373  47"><table class
│ │ │ +0007daa0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007dab0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007dac0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007dad0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007dae0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007daf0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007db00: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007db10: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007db20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007db30: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007db40: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007db50: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007db60: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007db70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007db80: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0007db90: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ +0007dba0: 6574 640a 0a63 6c61 7373 2072 656d 6f76  etd..class remov
│ │ │ +0007dbb0: 655f 7465 6c6e 6574 6420 7b0a 2020 7061  e_telnetd {.  pa
│ │ │ +0007dbc0: 636b 6167 6520 7b20 2774 656c 6e65 7464  ckage { 'telnetd
│ │ │ +0007dbd0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +0007dbe0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +0007dbf0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  0007dc00: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  0007dc10: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  0007dc20: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  0007dc30: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  0007dc40: 2263 6869 6c64 7265 6e2d 7863 6364 665f  "children-xccdf_
│ │ │  0007dc50: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  0007dc60: 6f6e 7465 6e74 5f67 726f 7570 5f6e 7470  ontent_group_ntp
│ │ │ @@ -32640,180 +32640,180 @@
│ │ │  0007f7f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0007f800: 646d 3130 3333 3122 2074 6162 696e 6465  dm10331" tabinde
│ │ │  0007f810: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0007f820: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0007f830: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0007f840: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0007f850: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0007f860: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -0007f870: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -0007f880: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007f890: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007f8a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007f8b0: 7073 6522 2069 643d 2269 646d 3130 3333  pse" id="idm1033
│ │ │ -0007f8c0: 3122 3e3c 7072 653e 3c63 6f64 653e 0a5b  1"><pre><code>.[
│ │ │ -0007f8d0: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ -0007f8e0: 203d 2022 6e74 7022 0a76 6572 7369 6f6e   = "ntp".version
│ │ │ -0007f8f0: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -0007f900: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -0007f910: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -0007f920: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -0007f930: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -0007f940: 2d74 6172 6765 743d 2223 6964 6d31 3033  -target="#idm103
│ │ │ -0007f950: 3332 2220 7461 6269 6e64 6578 3d22 3022  32" tabindex="0"
│ │ │ -0007f960: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -0007f970: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -0007f980: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -0007f990: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -0007f9a0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0007f9b0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0007f9c0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007f9d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007f9e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007f9f0: 7073 6522 2069 643d 2269 646d 3130 3333  pse" id="idm1033
│ │ │ -0007fa00: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ -0007fa10: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007fa20: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007fa30: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007fa40: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007fa50: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007fa60: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007fa70: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007fa80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007fa90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007faa0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007fab0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007fac0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007fad0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0007fae0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0007faf0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -0007fb00: 6465 2069 6e73 7461 6c6c 5f6e 7470 0a0a  de install_ntp..
│ │ │ -0007fb10: 636c 6173 7320 696e 7374 616c 6c5f 6e74  class install_nt
│ │ │ -0007fb20: 7020 7b0a 2020 7061 636b 6167 6520 7b20  p {.  package { 
│ │ │ -0007fb30: 276e 7470 273a 0a20 2020 2065 6e73 7572  'ntp':.    ensur
│ │ │ -0007fb40: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ -0007fb50: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -0007fb60: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0007fb70: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0007fb80: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0007fb90: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0007fba0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0007fbb0: 6d31 3033 3333 2220 7461 6269 6e64 6578  m10333" tabindex
│ │ │ -0007fbc0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0007fbd0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0007fbe0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0007fbf0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0007fc00: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0007fc10: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -0007fc20: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -0007fc30: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007fc40: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007fc50: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007fc60: 6d31 3033 3333 223e 3c74 6162 6c65 2063  m10333"><table c
│ │ │ -0007fc70: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0007fc80: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0007fc90: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0007fca0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0007fcb0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0007fcc0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007fcd0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0007fce0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0007fcf0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007fd00: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0007fd10: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0007fd20: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0007fd30: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -0007fd40: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0007fd50: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0007fd60: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -0007fd70: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -0007fd80: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -0007fd90: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -0007fda0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -0007fdb0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -0007fdc0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ -0007fdd0: 5265 712d 3130 2e34 0a20 202d 2065 6e61  Req-10.4.  - ena
│ │ │ -0007fde0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -0007fdf0: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ -0007fe00: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0007fe10: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0007fe20: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ -0007fe30: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0007fe40: 636b 6167 655f 6e74 705f 696e 7374 616c  ckage_ntp_instal
│ │ │ -0007fe50: 6c65 640a 0a2d 206e 616d 653a 2045 6e73  led..- name: Ens
│ │ │ -0007fe60: 7572 6520 6e74 7020 6973 2069 6e73 7461  ure ntp is insta
│ │ │ -0007fe70: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ -0007fe80: 2020 2020 6e61 6d65 3a20 6e74 700a 2020      name: ntp.  
│ │ │ -0007fe90: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -0007fea0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -0007feb0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -0007fec0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -0007fed0: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -0007fee0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -0007fef0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -0007ff00: 712d 3130 2e34 0a20 202d 2065 6e61 626c  q-10.4.  - enabl
│ │ │ -0007ff10: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -0007ff20: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -0007ff30: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -0007ff40: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -0007ff50: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -0007ff60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0007ff70: 6167 655f 6e74 705f 696e 7374 616c 6c65  age_ntp_installe
│ │ │ -0007ff80: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -0007ff90: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0007ffa0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0007ffb0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0007ffc0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0007ffd0: 6574 3d22 2369 646d 3130 3333 3422 2074  et="#idm10334" t
│ │ │ -0007ffe0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007fff0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00080000: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00080010: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00080020: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00080030: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00080040: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -00080050: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00080060: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00080070: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00080080: 3d22 6964 6d31 3033 3334 223e 3c74 6162  ="idm10334"><tab
│ │ │ -00080090: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000800a0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000800b0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -000800c0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -000800d0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -000800e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000800f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00080100: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00080110: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00080120: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00080130: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00080140: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00080150: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00080160: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00080170: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00080180: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ -00080190: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ -000801a0: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ -000801b0: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ -000801c0: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ -000801d0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ -000801e0: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ -000801f0: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ -00080200: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ -00080210: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ -00080220: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ -00080230: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -00080240: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -00080250: 7420 696e 7374 616c 6c20 2d79 2022 6e74  t install -y "nt
│ │ │ -00080260: 7022 0a0a 656c 7365 0a20 2020 2026 6774  p"..else.    &gt
│ │ │ -00080270: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ -00080280: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ -00080290: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ -000802a0: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ -000802b0: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +0007f860: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0007f870: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0007f880: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0007f890: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0007f8a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0007f8b0: 646d 3130 3333 3122 3e3c 7461 626c 6520  dm10331"><table 
│ │ │ +0007f8c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0007f8d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0007f8e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0007f8f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0007f900: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0007f910: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007f920: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0007f930: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0007f940: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007f950: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0007f960: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0007f970: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0007f980: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +0007f990: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0007f9a0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0007f9b0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +0007f9c0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +0007f9d0: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +0007f9e0: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +0007f9f0: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +0007fa00: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0007fa10: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +0007fa20: 2d52 6571 2d31 302e 340a 2020 2d20 656e  -Req-10.4.  - en
│ │ │ +0007fa30: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0007fa40: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ +0007fa50: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0007fa60: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0007fa70: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ +0007fa80: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0007fa90: 6163 6b61 6765 5f6e 7470 5f69 6e73 7461  ackage_ntp_insta
│ │ │ +0007faa0: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ +0007fab0: 7375 7265 206e 7470 2069 7320 696e 7374  sure ntp is inst
│ │ │ +0007fac0: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +0007fad0: 0a20 2020 206e 616d 653a 206e 7470 0a20  .    name: ntp. 
│ │ │ +0007fae0: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +0007faf0: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +0007fb00: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +0007fb10: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +0007fb20: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +0007fb30: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +0007fb40: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ +0007fb50: 6571 2d31 302e 340a 2020 2d20 656e 6162  eq-10.4.  - enab
│ │ │ +0007fb60: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0007fb70: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ +0007fb80: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0007fb90: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0007fba0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +0007fbb0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +0007fbc0: 6b61 6765 5f6e 7470 5f69 6e73 7461 6c6c  kage_ntp_install
│ │ │ +0007fbd0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0007fbe0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0007fbf0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0007fc00: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0007fc10: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0007fc20: 6765 743d 2223 6964 6d31 3033 3332 2220  get="#idm10332" 
│ │ │ +0007fc30: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0007fc40: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0007fc50: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0007fc60: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0007fc70: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0007fc80: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0007fc90: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +0007fca0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0007fcb0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0007fcc0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0007fcd0: 643d 2269 646d 3130 3333 3222 3e3c 7461  d="idm10332"><ta
│ │ │ +0007fce0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0007fcf0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0007fd00: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0007fd10: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0007fd20: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0007fd30: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0007fd40: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007fd50: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0007fd60: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007fd70: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0007fd80: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0007fd90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007fda0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0007fdb0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0007fdc0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0007fdd0: 636f 6465 3e23 2052 656d 6564 6961 7469  code># Remediati
│ │ │ +0007fde0: 6f6e 2069 7320 6170 706c 6963 6162 6c65  on is applicable
│ │ │ +0007fdf0: 206f 6e6c 7920 696e 2063 6572 7461 696e   only in certain
│ │ │ +0007fe00: 2070 6c61 7466 6f72 6d73 0a69 6620 6470   platforms.if dp
│ │ │ +0007fe10: 6b67 2d71 7565 7279 202d 2d73 686f 7720  kg-query --show 
│ │ │ +0007fe20: 2d2d 7368 6f77 666f 726d 6174 3d27 247b  --showformat='${
│ │ │ +0007fe30: 6462 3a53 7461 7475 732d 5374 6174 7573  db:Status-Status
│ │ │ +0007fe40: 7d0a 2720 276c 696e 7578 2d62 6173 6527  }.' 'linux-base'
│ │ │ +0007fe50: 2032 2667 743b 2f64 6576 2f6e 756c 6c20   2&gt;/dev/null 
│ │ │ +0007fe60: 7c20 6772 6570 202d 7120 5e69 6e73 7461  | grep -q ^insta
│ │ │ +0007fe70: 6c6c 6564 3b20 7468 656e 0a0a 4445 4249  lled; then..DEBI
│ │ │ +0007fe80: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +0007fe90: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +0007fea0: 6574 2069 6e73 7461 6c6c 202d 7920 226e  et install -y "n
│ │ │ +0007feb0: 7470 220a 0a65 6c73 650a 2020 2020 2667  tp"..else.    &g
│ │ │ +0007fec0: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ +0007fed0: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ +0007fee0: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ +0007fef0: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ +0007ff00: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +0007ff10: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0007ff20: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0007ff30: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0007ff40: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0007ff50: 6765 743d 2223 6964 6d31 3033 3333 2220  get="#idm10333" 
│ │ │ +0007ff60: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0007ff70: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0007ff80: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0007ff90: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0007ffa0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0007ffb0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0007ffc0: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ +0007ffd0: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ +0007ffe0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0007fff0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00080000: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00080010: 6964 6d31 3033 3333 223e 3c70 7265 3e3c  idm10333"><pre><
│ │ │ +00080020: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ +00080030: 5d5d 0a6e 616d 6520 3d20 226e 7470 220a  ]].name = "ntp".
│ │ │ +00080040: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ +00080050: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00080060: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00080070: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00080080: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00080090: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000800a0: 2369 646d 3130 3333 3422 2074 6162 696e  #idm10334" tabin
│ │ │ +000800b0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000800c0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000800d0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000800e0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000800f0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00080100: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00080110: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00080120: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00080130: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00080140: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00080150: 6964 6d31 3033 3334 223e 3c74 6162 6c65  idm10334"><table
│ │ │ +00080160: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00080170: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00080180: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00080190: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000801a0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000801b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000801c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +000801d0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000801e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000801f0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00080200: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00080210: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00080220: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00080230: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00080240: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00080250: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ +00080260: 6c5f 6e74 700a 0a63 6c61 7373 2069 6e73  l_ntp..class ins
│ │ │ +00080270: 7461 6c6c 5f6e 7470 207b 0a20 2070 6163  tall_ntp {.  pac
│ │ │ +00080280: 6b61 6765 207b 2027 6e74 7027 3a0a 2020  kage { 'ntp':.  
│ │ │ +00080290: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +000802a0: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ +000802b0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  000802c0: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  000802d0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  000802e0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  000802f0: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  00080300: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00080310: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  00080320: 5f73 6572 7669 6365 5f6e 7470 5f65 6e61  _service_ntp_ena
│ │ │ @@ -33041,157 +33041,157 @@
│ │ │  00081100: 7267 6574 3d22 2369 646d 3130 3430 3422  rget="#idm10404"
│ │ │  00081110: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00081120: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00081130: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00081140: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00081150: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00081160: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00081170: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00081180: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00081190: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000811a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000811b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000811c0: 2269 646d 3130 3430 3422 3e3c 7072 653e  "idm10404"><pre>
│ │ │ -000811d0: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ -000811e0: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ -000811f0: 0a65 6e61 626c 6564 203d 205b 226e 7470  .enabled = ["ntp
│ │ │ -00081200: 225d 0a3c 2f63 6f64 653e 3c2f 7072 653e  "].</code></pre>
│ │ │ -00081210: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00081220: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00081230: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00081240: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00081250: 6765 743d 2223 6964 6d31 3034 3035 2220  get="#idm10405" 
│ │ │ -00081260: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00081270: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00081280: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00081290: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -000812a0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -000812b0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000812c0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -000812d0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000812e0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000812f0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00081300: 2069 643d 2269 646d 3130 3430 3522 3e3c   id="idm10405"><
│ │ │ -00081310: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00081320: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00081330: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00081340: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00081350: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00081360: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00081370: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00081380: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00081390: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000813a0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000813b0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000813c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000813d0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000813e0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000813f0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00081400: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ -00081410: 6e61 626c 655f 6e74 700a 0a63 6c61 7373  nable_ntp..class
│ │ │ -00081420: 2065 6e61 626c 655f 6e74 7020 7b0a 2020   enable_ntp {.  
│ │ │ -00081430: 7365 7276 6963 6520 7b27 6e74 7027 3a0a  service {'ntp':.
│ │ │ -00081440: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ -00081450: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ -00081460: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ -00081470: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00081480: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00081490: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000814a0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -000814b0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -000814c0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -000814d0: 3034 3036 2220 7461 6269 6e64 6578 3d22  0406" tabindex="
│ │ │ -000814e0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -000814f0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00081500: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00081510: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00081520: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00081530: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00081540: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00081550: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00081560: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00081570: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00081580: 3034 3036 223e 3c74 6162 6c65 2063 6c61  0406"><table cla
│ │ │ -00081590: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000815a0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000815b0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000815c0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000815d0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000815e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000815f0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00081600: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00081610: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00081620: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00081630: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00081640: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00081650: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00081660: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00081670: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00081680: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -00081690: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -000816a0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -000816b0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -000816c0: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ -000816d0: 5354 2d38 3030 2d35 332d 4155 2d38 2831  ST-800-53-AU-8(1
│ │ │ -000816e0: 2928 6129 0a20 202d 204e 4953 542d 3830  )(a).  - NIST-80
│ │ │ -000816f0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00081700: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -00081710: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ -00081720: 3130 2e36 0a20 202d 2050 4349 2d44 5353  10.6.  - PCI-DSS
│ │ │ -00081730: 7634 2d31 302e 362e 310a 2020 2d20 656e  v4-10.6.1.  - en
│ │ │ -00081740: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00081750: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ -00081760: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00081770: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00081780: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -00081790: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ -000817a0: 6572 7669 6365 5f6e 7470 5f65 6e61 626c  ervice_ntp_enabl
│ │ │ -000817b0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ -000817c0: 6c65 2074 6865 204e 5450 2044 6165 6d6f  le the NTP Daemo
│ │ │ -000817d0: 6e20 2d20 456e 6162 6c65 2073 6572 7669  n - Enable servi
│ │ │ -000817e0: 6365 206e 7470 0a20 2062 6c6f 636b 3a0a  ce ntp.  block:.
│ │ │ -000817f0: 0a20 202d 206e 616d 653a 2047 6174 6865  .  - name: Gathe
│ │ │ -00081800: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00081810: 6374 730a 2020 2020 7061 636b 6167 655f  cts.    package_
│ │ │ -00081820: 6661 6374 733a 0a20 2020 2020 206d 616e  facts:.      man
│ │ │ -00081830: 6167 6572 3a20 6175 746f 0a0a 2020 2d20  ager: auto..  - 
│ │ │ -00081840: 6e61 6d65 3a20 456e 6162 6c65 2074 6865  name: Enable the
│ │ │ -00081850: 204e 5450 2044 6165 6d6f 6e20 2d20 456e   NTP Daemon - En
│ │ │ -00081860: 6162 6c65 2053 6572 7669 6365 206e 7470  able Service ntp
│ │ │ -00081870: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ -00081880: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ -00081890: 2020 2020 6e61 6d65 3a20 6e74 700a 2020      name: ntp.  
│ │ │ -000818a0: 2020 2020 656e 6162 6c65 643a 2074 7275      enabled: tru
│ │ │ -000818b0: 650a 2020 2020 2020 7374 6174 653a 2073  e.      state: s
│ │ │ -000818c0: 7461 7274 6564 0a20 2020 2020 206d 6173  tarted.      mas
│ │ │ -000818d0: 6b65 643a 2066 616c 7365 0a20 2020 2077  ked: false.    w
│ │ │ -000818e0: 6865 6e3a 0a20 2020 202d 2027 226e 7470  hen:.    - '"ntp
│ │ │ -000818f0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00081900: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ -00081910: 6865 6e3a 0a20 202d 2027 226c 696e 7578  hen:.  - '"linux
│ │ │ -00081920: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00081930: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00081940: 270a 2020 2d20 2722 6e74 7022 2069 6e20  '.  - '"ntp" in 
│ │ │ -00081950: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00081960: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -00081970: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00081980: 4155 2d38 2831 2928 6129 0a20 202d 204e  AU-8(1)(a).  - N
│ │ │ -00081990: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -000819a0: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ -000819b0: 6571 2d31 302e 340a 2020 2d20 5043 492d  eq-10.4.  - PCI-
│ │ │ -000819c0: 4453 5376 342d 3130 2e36 0a20 202d 2050  DSSv4-10.6.  - P
│ │ │ -000819d0: 4349 2d44 5353 7634 2d31 302e 362e 310a  CI-DSSv4-10.6.1.
│ │ │ -000819e0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -000819f0: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -00081a00: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -00081a10: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00081a20: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00081a30: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00081a40: 0a20 202d 2073 6572 7669 6365 5f6e 7470  .  - service_ntp
│ │ │ -00081a50: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +00081170: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00081180: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00081190: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000811a0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000811b0: 6522 2069 643d 2269 646d 3130 3430 3422  e" id="idm10404"
│ │ │ +000811c0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000811d0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000811e0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000811f0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00081200: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00081210: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00081220: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00081230: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00081240: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00081250: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00081260: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00081270: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00081280: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00081290: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +000812a0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000812b0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +000812c0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +000812d0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +000812e0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +000812f0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00081300: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00081310: 302d 3533 2d41 552d 3828 3129 2861 290a  0-53-AU-8(1)(a).
│ │ │ +00081320: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00081330: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +00081340: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ +00081350: 2050 4349 2d44 5353 7634 2d31 302e 360a   PCI-DSSv4-10.6.
│ │ │ +00081360: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +00081370: 2e36 2e31 0a20 202d 2065 6e61 626c 655f  .6.1.  - enable_
│ │ │ +00081380: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ +00081390: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ +000813a0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +000813b0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +000813c0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +000813d0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +000813e0: 655f 6e74 705f 656e 6162 6c65 640a 0a2d  e_ntp_enabled..-
│ │ │ +000813f0: 206e 616d 653a 2045 6e61 626c 6520 7468   name: Enable th
│ │ │ +00081400: 6520 4e54 5020 4461 656d 6f6e 202d 2045  e NTP Daemon - E
│ │ │ +00081410: 6e61 626c 6520 7365 7276 6963 6520 6e74  nable service nt
│ │ │ +00081420: 700a 2020 626c 6f63 6b3a 0a0a 2020 2d20  p.  block:..  - 
│ │ │ +00081430: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +00081440: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +00081450: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +00081460: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +00081470: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +00081480: 2045 6e61 626c 6520 7468 6520 4e54 5020   Enable the NTP 
│ │ │ +00081490: 4461 656d 6f6e 202d 2045 6e61 626c 6520  Daemon - Enable 
│ │ │ +000814a0: 5365 7276 6963 6520 6e74 700a 2020 2020  Service ntp.    
│ │ │ +000814b0: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ +000814c0: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ +000814d0: 616d 653a 206e 7470 0a20 2020 2020 2065  ame: ntp.      e
│ │ │ +000814e0: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +000814f0: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +00081500: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +00081510: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +00081520: 2020 2020 2d20 2722 6e74 7022 2069 6e20      - '"ntp" in 
│ │ │ +00081530: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00081540: 636b 6167 6573 270a 2020 7768 656e 3a0a  ckages'.  when:.
│ │ │ +00081550: 2020 2d20 2722 6c69 6e75 782d 6261 7365    - '"linux-base
│ │ │ +00081560: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +00081570: 7473 2e70 6163 6b61 6765 7327 0a20 202d  ts.packages'.  -
│ │ │ +00081580: 2027 226e 7470 2220 696e 2061 6e73 6962   '"ntp" in ansib
│ │ │ +00081590: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +000815a0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +000815b0: 4953 542d 3830 302d 3533 2d41 552d 3828  IST-800-53-AU-8(
│ │ │ +000815c0: 3129 2861 290a 2020 2d20 4e49 5354 2d38  1)(a).  - NIST-8
│ │ │ +000815d0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +000815e0: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ +000815f0: 2e34 0a20 202d 2050 4349 2d44 5353 7634  .4.  - PCI-DSSv4
│ │ │ +00081600: 2d31 302e 360a 2020 2d20 5043 492d 4453  -10.6.  - PCI-DS
│ │ │ +00081610: 5376 342d 3130 2e36 2e31 0a20 202d 2065  Sv4-10.6.1.  - e
│ │ │ +00081620: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +00081630: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +00081640: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00081650: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00081660: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +00081670: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00081680: 7365 7276 6963 655f 6e74 705f 656e 6162  service_ntp_enab
│ │ │ +00081690: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +000816a0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000816b0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000816c0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000816d0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000816e0: 7267 6574 3d22 2369 646d 3130 3430 3522  rget="#idm10405"
│ │ │ +000816f0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00081700: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00081710: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00081720: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00081730: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00081740: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00081750: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +00081760: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +00081770: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00081780: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00081790: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000817a0: 2269 646d 3130 3430 3522 3e3c 7072 653e  "idm10405"><pre>
│ │ │ +000817b0: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ +000817c0: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ +000817d0: 0a65 6e61 626c 6564 203d 205b 226e 7470  .enabled = ["ntp
│ │ │ +000817e0: 225d 0a3c 2f63 6f64 653e 3c2f 7072 653e  "].</code></pre>
│ │ │ +000817f0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00081800: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00081810: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00081820: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00081830: 6765 743d 2223 6964 6d31 3034 3036 2220  get="#idm10406" 
│ │ │ +00081840: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00081850: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00081860: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00081870: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00081880: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00081890: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +000818a0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +000818b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +000818c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +000818d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +000818e0: 2069 643d 2269 646d 3130 3430 3622 3e3c   id="idm10406"><
│ │ │ +000818f0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00081900: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00081910: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00081920: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00081930: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00081940: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00081950: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00081960: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00081970: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00081980: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00081990: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +000819a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000819b0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +000819c0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +000819d0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +000819e0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ +000819f0: 6e61 626c 655f 6e74 700a 0a63 6c61 7373  nable_ntp..class
│ │ │ +00081a00: 2065 6e61 626c 655f 6e74 7020 7b0a 2020   enable_ntp {.  
│ │ │ +00081a10: 7365 7276 6963 6520 7b27 6e74 7027 3a0a  service {'ntp':.
│ │ │ +00081a20: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ +00081a30: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ +00081a40: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ +00081a50: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00081a60: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00081a70: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00081a80: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00081a90: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00081aa0: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  00081ab0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00081ac0: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -36783,204 +36783,204 @@
│ │ │  0008fae0: 612d 7461 7267 6574 3d22 2369 646d 3133  a-target="#idm13
│ │ │  0008faf0: 3430 3922 2074 6162 696e 6465 783d 2230  409" tabindex="0
│ │ │  0008fb00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  0008fb10: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  0008fb20: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  0008fb30: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  0008fb40: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0008fb50: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -0008fb60: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -0008fb70: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0008fb80: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0008fb90: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0008fba0: 2069 643d 2269 646d 3133 3430 3922 3e3c   id="idm13409"><
│ │ │ -0008fbb0: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -0008fbc0: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -0008fbd0: 6175 6469 7464 220a 7665 7273 696f 6e20  auditd".version 
│ │ │ -0008fbe0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ -0008fbf0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0008fc00: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0008fc10: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0008fc20: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0008fc30: 7461 7267 6574 3d22 2369 646d 3133 3431  target="#idm1341
│ │ │ -0008fc40: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ -0008fc50: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0008fc60: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0008fc70: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0008fc80: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0008fc90: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0008fca0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -0008fcb0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0008fcc0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0008fcd0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0008fce0: 7365 2220 6964 3d22 6964 6d31 3334 3130  se" id="idm13410
│ │ │ -0008fcf0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0008fd00: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0008fd10: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0008fd20: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0008fd30: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0008fd40: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0008fd50: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0008fd60: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0008fd70: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0008fd80: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0008fd90: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0008fda0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0008fdb0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0008fdc0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -0008fdd0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0008fde0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -0008fdf0: 6520 696e 7374 616c 6c5f 6175 6469 7464  e install_auditd
│ │ │ -0008fe00: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -0008fe10: 6175 6469 7464 207b 0a20 2070 6163 6b61  auditd {.  packa
│ │ │ -0008fe20: 6765 207b 2027 6175 6469 7464 273a 0a20  ge { 'auditd':. 
│ │ │ -0008fe30: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -0008fe40: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ -0008fe50: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0008fe60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0008fe70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0008fe80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0008fe90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0008fea0: 6765 743d 2223 6964 6d31 3334 3131 2220  get="#idm13411" 
│ │ │ -0008feb0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0008fec0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0008fed0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0008fee0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0008fef0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0008ff00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0008ff10: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0008ff20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0008ff30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0008ff40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0008ff50: 2220 6964 3d22 6964 6d31 3334 3131 223e  " id="idm13411">
│ │ │ -0008ff60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0008ff70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0008ff80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0008ff90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0008ffa0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0008ffb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0008ffc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0008ffd0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0008ffe0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0008fff0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00090000: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00090010: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00090020: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00090030: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00090040: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00090050: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00090060: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00090070: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00090080: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00090090: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -000900a0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -000900b0: 2d35 332d 4143 2d37 2861 290a 2020 2d20  -53-AC-7(a).  - 
│ │ │ -000900c0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -000900d0: 3228 3229 0a20 202d 204e 4953 542d 3830  2(2).  - NIST-80
│ │ │ -000900e0: 302d 3533 2d41 552d 3134 0a20 202d 204e  0-53-AU-14.  - N
│ │ │ -000900f0: 4953 542d 3830 302d 3533 2d41 552d 3228  IST-800-53-AU-2(
│ │ │ -00090100: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00090110: 3533 2d41 552d 3728 3129 0a20 202d 204e  53-AU-7(1).  - N
│ │ │ -00090120: 4953 542d 3830 302d 3533 2d41 552d 3728  IST-800-53-AU-7(
│ │ │ -00090130: 3229 0a20 202d 204e 4953 542d 3830 302d  2).  - NIST-800-
│ │ │ -00090140: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -00090150: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -00090160: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00090170: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00090180: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -00090190: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -000901a0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -000901b0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -000901c0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -000901d0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -000901e0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -000901f0: 6163 6b61 6765 5f61 7564 6974 5f69 6e73  ackage_audit_ins
│ │ │ -00090200: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -00090210: 456e 7375 7265 2061 7564 6974 6420 6973  Ensure auditd is
│ │ │ -00090220: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -00090230: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -00090240: 6175 6469 7464 0a20 2020 2073 7461 7465  auditd.    state
│ │ │ -00090250: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -00090260: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00090270: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00090280: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00090290: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -000902a0: 3533 2d41 432d 3728 6129 0a20 202d 204e  53-AC-7(a).  - N
│ │ │ -000902b0: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -000902c0: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ -000902d0: 2d35 332d 4155 2d31 340a 2020 2d20 4e49  -53-AU-14.  - NI
│ │ │ -000902e0: 5354 2d38 3030 2d35 332d 4155 2d32 2861  ST-800-53-AU-2(a
│ │ │ -000902f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090300: 332d 4155 2d37 2831 290a 2020 2d20 4e49  3-AU-7(1).  - NI
│ │ │ -00090310: 5354 2d38 3030 2d35 332d 4155 2d37 2832  ST-800-53-AU-7(2
│ │ │ -00090320: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090330: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -00090340: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ -00090350: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -00090360: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -00090370: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ -00090380: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00090390: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -000903a0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -000903b0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -000903c0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -000903d0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -000903e0: 636b 6167 655f 6175 6469 745f 696e 7374  ckage_audit_inst
│ │ │ -000903f0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ -00090400: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00090410: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00090420: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00090430: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00090440: 7461 7267 6574 3d22 2369 646d 3133 3431  target="#idm1341
│ │ │ -00090450: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -00090460: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00090470: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00090480: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00090490: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000904a0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000904b0: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ -000904c0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000904d0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -000904e0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -000904f0: 2220 6964 3d22 6964 6d31 3334 3132 223e  " id="idm13412">
│ │ │ -00090500: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00090510: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00090520: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00090530: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00090540: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00090550: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00090560: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00090570: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00090580: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00090590: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -000905a0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -000905b0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -000905c0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -000905d0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -000905e0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -000905f0: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ -00090600: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ -00090610: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ -00090620: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ -00090630: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ -00090640: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ -00090650: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ -00090660: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ -00090670: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ -00090680: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ -00090690: 7374 616c 6c65 643b 2074 6865 6e0a 0a44  stalled; then..D
│ │ │ -000906a0: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -000906b0: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -000906c0: 742d 6765 7420 696e 7374 616c 6c20 2d79  t-get install -y
│ │ │ -000906d0: 2022 6175 6469 7464 220a 0a65 6c73 650a   "auditd"..else.
│ │ │ -000906e0: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -000906f0: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -00090700: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -00090710: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -00090720: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0008fb50: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +0008fb60: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0008fb70: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0008fb80: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0008fb90: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ +0008fba0: 3430 3922 3e3c 7461 626c 6520 636c 6173  409"><table clas
│ │ │ +0008fbb0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0008fbc0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0008fbd0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0008fbe0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0008fbf0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0008fc00: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0008fc10: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0008fc20: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0008fc30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0008fc40: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0008fc50: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0008fc60: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0008fc70: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0008fc80: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0008fc90: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0008fca0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +0008fcb0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +0008fcc0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +0008fcd0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +0008fce0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +0008fcf0: 542d 3830 302d 3533 2d41 432d 3728 6129  T-800-53-AC-7(a)
│ │ │ +0008fd00: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0008fd10: 2d41 552d 3132 2832 290a 2020 2d20 4e49  -AU-12(2).  - NI
│ │ │ +0008fd20: 5354 2d38 3030 2d35 332d 4155 2d31 340a  ST-800-53-AU-14.
│ │ │ +0008fd30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008fd40: 4155 2d32 2861 290a 2020 2d20 4e49 5354  AU-2(a).  - NIST
│ │ │ +0008fd50: 2d38 3030 2d35 332d 4155 2d37 2831 290a  -800-53-AU-7(1).
│ │ │ +0008fd60: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008fd70: 4155 2d37 2832 290a 2020 2d20 4e49 5354  AU-7(2).  - NIST
│ │ │ +0008fd80: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +0008fd90: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +0008fda0: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ +0008fdb0: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ +0008fdc0: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ +0008fdd0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +0008fde0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0008fdf0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0008fe00: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +0008fe10: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +0008fe20: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0008fe30: 2020 2d20 7061 636b 6167 655f 6175 6469    - package_audi
│ │ │ +0008fe40: 745f 696e 7374 616c 6c65 640a 0a2d 206e  t_installed..- n
│ │ │ +0008fe50: 616d 653a 2045 6e73 7572 6520 6175 6469  ame: Ensure audi
│ │ │ +0008fe60: 7464 2069 7320 696e 7374 616c 6c65 640a  td is installed.
│ │ │ +0008fe70: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +0008fe80: 616d 653a 2061 7564 6974 640a 2020 2020  ame: auditd.    
│ │ │ +0008fe90: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +0008fea0: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +0008feb0: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +0008fec0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0008fed0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +0008fee0: 2d38 3030 2d35 332d 4143 2d37 2861 290a  -800-53-AC-7(a).
│ │ │ +0008fef0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008ff00: 4155 2d31 3228 3229 0a20 202d 204e 4953  AU-12(2).  - NIS
│ │ │ +0008ff10: 542d 3830 302d 3533 2d41 552d 3134 0a20  T-800-53-AU-14. 
│ │ │ +0008ff20: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008ff30: 552d 3228 6129 0a20 202d 204e 4953 542d  U-2(a).  - NIST-
│ │ │ +0008ff40: 3830 302d 3533 2d41 552d 3728 3129 0a20  800-53-AU-7(1). 
│ │ │ +0008ff50: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008ff60: 552d 3728 3229 0a20 202d 204e 4953 542d  U-7(2).  - NIST-
│ │ │ +0008ff70: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +0008ff80: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +0008ff90: 302e 310a 2020 2d20 5043 492d 4453 5376  0.1.  - PCI-DSSv
│ │ │ +0008ffa0: 342d 3130 2e32 0a20 202d 2050 4349 2d44  4-10.2.  - PCI-D
│ │ │ +0008ffb0: 5353 7634 2d31 302e 322e 310a 2020 2d20  SSv4-10.2.1.  - 
│ │ │ +0008ffc0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +0008ffd0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0008ffe0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0008fff0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00090000: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00090010: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00090020: 202d 2070 6163 6b61 6765 5f61 7564 6974   - package_audit
│ │ │ +00090030: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +00090040: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00090050: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00090060: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00090070: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00090080: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00090090: 6d31 3334 3130 2220 7461 6269 6e64 6578  m13410" tabindex
│ │ │ +000900a0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +000900b0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +000900c0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +000900d0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000900e0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +000900f0: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +00090100: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +00090110: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00090120: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00090130: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ +00090140: 3431 3022 3e3c 7461 626c 6520 636c 6173  410"><table clas
│ │ │ +00090150: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00090160: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00090170: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00090180: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00090190: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +000901a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000901b0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +000901c0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +000901d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000901e0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +000901f0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00090200: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00090210: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00090220: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00090230: 653e 3c70 7265 3e3c 636f 6465 3e23 2052  e><pre><code># R
│ │ │ +00090240: 656d 6564 6961 7469 6f6e 2069 7320 6170  emediation is ap
│ │ │ +00090250: 706c 6963 6162 6c65 206f 6e6c 7920 696e  plicable only in
│ │ │ +00090260: 2063 6572 7461 696e 2070 6c61 7466 6f72   certain platfor
│ │ │ +00090270: 6d73 0a69 6620 6470 6b67 2d71 7565 7279  ms.if dpkg-query
│ │ │ +00090280: 202d 2d73 686f 7720 2d2d 7368 6f77 666f   --show --showfo
│ │ │ +00090290: 726d 6174 3d27 247b 6462 3a53 7461 7475  rmat='${db:Statu
│ │ │ +000902a0: 732d 5374 6174 7573 7d0a 2720 276c 696e  s-Status}.' 'lin
│ │ │ +000902b0: 7578 2d62 6173 6527 2032 2667 743b 2f64  ux-base' 2&gt;/d
│ │ │ +000902c0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d  ev/null | grep -
│ │ │ +000902d0: 7120 5e69 6e73 7461 6c6c 6564 3b20 7468  q ^installed; th
│ │ │ +000902e0: 656e 0a0a 4445 4249 414e 5f46 524f 4e54  en..DEBIAN_FRONT
│ │ │ +000902f0: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +00090300: 7665 2061 7074 2d67 6574 2069 6e73 7461  ve apt-get insta
│ │ │ +00090310: 6c6c 202d 7920 2261 7564 6974 6422 0a0a  ll -y "auditd"..
│ │ │ +00090320: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ +00090330: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ +00090340: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ +00090350: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ +00090360: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +00090370: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00090380: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00090390: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +000903a0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +000903b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000903c0: 2369 646d 3133 3431 3122 2074 6162 696e  #idm13411" tabin
│ │ │ +000903d0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000903e0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000903f0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00090400: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00090410: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00090420: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00090430: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00090440: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00090450: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00090460: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00090470: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ +00090480: 3431 3122 3e3c 7072 653e 3c63 6f64 653e  411"><pre><code>
│ │ │ +00090490: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +000904a0: 6d65 203d 2022 6175 6469 7464 220a 7665  me = "auditd".ve
│ │ │ +000904b0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ +000904c0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +000904d0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +000904e0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +000904f0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00090500: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00090510: 646d 3133 3431 3222 2074 6162 696e 6465  dm13412" tabinde
│ │ │ +00090520: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00090530: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00090540: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00090550: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00090560: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00090570: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +00090580: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00090590: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000905a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000905b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000905c0: 6d31 3334 3132 223e 3c74 6162 6c65 2063  m13412"><table c
│ │ │ +000905d0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000905e0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000905f0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00090600: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00090610: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00090620: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00090630: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00090640: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00090650: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00090660: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00090670: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00090680: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00090690: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000906a0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000906b0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000906c0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +000906d0: 6175 6469 7464 0a0a 636c 6173 7320 696e  auditd..class in
│ │ │ +000906e0: 7374 616c 6c5f 6175 6469 7464 207b 0a20  stall_auditd {. 
│ │ │ +000906f0: 2070 6163 6b61 6765 207b 2027 6175 6469   package { 'audi
│ │ │ +00090700: 7464 273a 0a20 2020 2065 6e73 7572 6520  td':.    ensure 
│ │ │ +00090710: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +00090720: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00090730: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00090740: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00090750: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00090760: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00090770: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  00090780: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  00090790: 6e74 5f72 756c 655f 7365 7276 6963 655f  nt_rule_service_
│ │ │ @@ -37390,191 +37390,191 @@
│ │ │  000920d0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  000920e0: 6964 6d31 3336 3130 2220 7461 6269 6e64  idm13610" tabind
│ │ │  000920f0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  00092100: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  00092110: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  00092120: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  00092130: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00092140: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -00092150: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -00092160: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00092170: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00092180: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00092190: 6170 7365 2220 6964 3d22 6964 6d31 3336  apse" id="idm136
│ │ │ -000921a0: 3130 223e 3c70 7265 3e3c 636f 6465 3e0a  10"><pre><code>.
│ │ │ -000921b0: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ -000921c0: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ -000921d0: 6420 3d20 5b22 6175 6469 7464 225d 0a3c  d = ["auditd"].<
│ │ │ -000921e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -000921f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00092200: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00092210: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00092220: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00092230: 2223 6964 6d31 3336 3131 2220 7461 6269  "#idm13611" tabi
│ │ │ -00092240: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00092250: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00092260: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00092270: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00092280: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00092290: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -000922a0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -000922b0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000922c0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000922d0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000922e0: 2269 646d 3133 3631 3122 3e3c 7461 626c  "idm13611"><tabl
│ │ │ -000922f0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00092300: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00092310: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00092320: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00092330: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00092340: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00092350: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00092360: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00092370: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00092380: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00092390: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000923a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000923b0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000923c0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -000923d0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -000923e0: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ -000923f0: 655f 6175 6469 7464 0a0a 636c 6173 7320  e_auditd..class 
│ │ │ -00092400: 656e 6162 6c65 5f61 7564 6974 6420 7b0a  enable_auditd {.
│ │ │ -00092410: 2020 7365 7276 6963 6520 7b27 6175 6469    service {'audi
│ │ │ -00092420: 7464 273a 0a20 2020 2065 6e61 626c 6520  td':.    enable 
│ │ │ -00092430: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00092440: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00092450: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00092460: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00092470: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00092480: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00092490: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -000924a0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -000924b0: 2369 646d 3133 3631 3222 2074 6162 696e  #idm13612" tabin
│ │ │ -000924c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000924d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000924e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000924f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00092500: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00092510: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00092520: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00092530: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00092540: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00092550: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00092560: 2269 646d 3133 3631 3222 3e3c 7461 626c  "idm13612"><tabl
│ │ │ -00092570: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00092580: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00092590: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -000925a0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -000925b0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -000925c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000925d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000925e0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000925f0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00092600: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00092610: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00092620: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00092630: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00092640: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00092650: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00092660: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00092670: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00092680: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00092690: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -000926a0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -000926b0: 202d 2043 4a49 532d 352e 342e 312e 310a   - CJIS-5.4.1.1.
│ │ │ -000926c0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -000926d0: 2d33 2e33 2e31 0a20 202d 204e 4953 542d  -3.3.1.  - NIST-
│ │ │ -000926e0: 3830 302d 3137 312d 332e 332e 320a 2020  800-171-3.3.2.  
│ │ │ -000926f0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -00092700: 2e33 2e36 0a20 202d 204e 4953 542d 3830  .3.6.  - NIST-80
│ │ │ -00092710: 302d 3533 2d41 432d 3228 6729 0a20 202d  0-53-AC-2(g).  -
│ │ │ -00092720: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ -00092730: 3628 3929 0a20 202d 204e 4953 542d 3830  6(9).  - NIST-80
│ │ │ -00092740: 302d 3533 2d41 552d 3130 0a20 202d 204e  0-53-AU-10.  - N
│ │ │ -00092750: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -00092760: 2863 290a 2020 2d20 4e49 5354 2d38 3030  (c).  - NIST-800
│ │ │ -00092770: 2d35 332d 4155 2d31 3428 3129 0a20 202d  -53-AU-14(1).  -
│ │ │ -00092780: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00092790: 3228 6429 0a20 202d 204e 4953 542d 3830  2(d).  - NIST-80
│ │ │ -000927a0: 302d 3533 2d41 552d 330a 2020 2d20 4e49  0-53-AU-3.  - NI
│ │ │ -000927b0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -000927c0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -000927d0: 332d 5349 2d34 2832 3329 0a20 202d 2050  3-SI-4(23).  - P
│ │ │ -000927e0: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -000927f0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00092800: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00092810: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -00092820: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00092830: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00092840: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00092850: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00092860: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00092870: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ -00092880: 6572 7669 6365 5f61 7564 6974 645f 656e  ervice_auditd_en
│ │ │ -00092890: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ -000928a0: 6e61 626c 6520 6175 6469 7464 2053 6572  nable auditd Ser
│ │ │ -000928b0: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -000928c0: 7276 6963 6520 6175 6469 7464 0a20 2062  rvice auditd.  b
│ │ │ -000928d0: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ -000928e0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -000928f0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ -00092900: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00092910: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00092920: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ -00092930: 6c65 2061 7564 6974 6420 5365 7276 6963  le auditd Servic
│ │ │ -00092940: 6520 2d20 456e 6162 6c65 2053 6572 7669  e - Enable Servi
│ │ │ -00092950: 6365 2061 7564 6974 640a 2020 2020 616e  ce auditd.    an
│ │ │ -00092960: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ -00092970: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ -00092980: 653a 2061 7564 6974 640a 2020 2020 2020  e: auditd.      
│ │ │ -00092990: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ -000929a0: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ -000929b0: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ -000929c0: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ -000929d0: 0a20 2020 202d 2027 2261 7564 6974 6422  .    - '"auditd"
│ │ │ -000929e0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -000929f0: 732e 7061 636b 6167 6573 270a 2020 7768  s.packages'.  wh
│ │ │ -00092a00: 656e 3a0a 2020 2d20 2722 6c69 6e75 782d  en:.  - '"linux-
│ │ │ -00092a10: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -00092a20: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00092a30: 0a20 202d 2027 2261 7564 6974 6422 2069  .  - '"auditd" i
│ │ │ -00092a40: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -00092a50: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -00092a60: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31  :.  - CJIS-5.4.1
│ │ │ -00092a70: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ -00092a80: 3137 312d 332e 332e 310a 2020 2d20 4e49  171-3.3.1.  - NI
│ │ │ -00092a90: 5354 2d38 3030 2d31 3731 2d33 2e33 2e32  ST-800-171-3.3.2
│ │ │ -00092aa0: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -00092ab0: 312d 332e 332e 360a 2020 2d20 4e49 5354  1-3.3.6.  - NIST
│ │ │ -00092ac0: 2d38 3030 2d35 332d 4143 2d32 2867 290a  -800-53-AC-2(g).
│ │ │ -00092ad0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00092ae0: 4143 2d36 2839 290a 2020 2d20 4e49 5354  AC-6(9).  - NIST
│ │ │ -00092af0: 2d38 3030 2d35 332d 4155 2d31 300a 2020  -800-53-AU-10.  
│ │ │ -00092b00: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00092b10: 2d31 3228 6329 0a20 202d 204e 4953 542d  -12(c).  - NIST-
│ │ │ -00092b20: 3830 302d 3533 2d41 552d 3134 2831 290a  800-53-AU-14(1).
│ │ │ -00092b30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00092b40: 4155 2d32 2864 290a 2020 2d20 4e49 5354  AU-2(d).  - NIST
│ │ │ -00092b50: 2d38 3030 2d35 332d 4155 2d33 0a20 202d  -800-53-AU-3.  -
│ │ │ -00092b60: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00092b70: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -00092b80: 302d 3533 2d53 492d 3428 3233 290a 2020  0-53-SI-4(23).  
│ │ │ -00092b90: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ -00092ba0: 2e31 0a20 202d 2050 4349 2d44 5353 7634  .1.  - PCI-DSSv4
│ │ │ -00092bb0: 2d31 302e 320a 2020 2d20 5043 492d 4453  -10.2.  - PCI-DS
│ │ │ -00092bc0: 5376 342d 3130 2e32 2e31 0a20 202d 2065  Sv4-10.2.1.  - e
│ │ │ -00092bd0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00092be0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00092bf0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00092c00: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00092c10: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00092c20: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00092c30: 2d20 7365 7276 6963 655f 6175 6469 7464  - service_auditd
│ │ │ -00092c40: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +00092140: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +00092150: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +00092160: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00092170: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00092180: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00092190: 6964 6d31 3336 3130 223e 3c74 6162 6c65  idm13610"><table
│ │ │ +000921a0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000921b0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000921c0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000921d0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000921e0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000921f0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00092200: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00092210: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00092220: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00092230: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00092240: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00092250: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00092260: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00092270: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00092280: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00092290: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +000922a0: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +000922b0: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +000922c0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +000922d0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +000922e0: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20  - CJIS-5.4.1.1. 
│ │ │ +000922f0: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00092300: 332e 332e 310a 2020 2d20 4e49 5354 2d38  3.3.1.  - NIST-8
│ │ │ +00092310: 3030 2d31 3731 2d33 2e33 2e32 0a20 202d  00-171-3.3.2.  -
│ │ │ +00092320: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +00092330: 332e 360a 2020 2d20 4e49 5354 2d38 3030  3.6.  - NIST-800
│ │ │ +00092340: 2d35 332d 4143 2d32 2867 290a 2020 2d20  -53-AC-2(g).  - 
│ │ │ +00092350: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00092360: 2839 290a 2020 2d20 4e49 5354 2d38 3030  (9).  - NIST-800
│ │ │ +00092370: 2d35 332d 4155 2d31 300a 2020 2d20 4e49  -53-AU-10.  - NI
│ │ │ +00092380: 5354 2d38 3030 2d35 332d 4155 2d31 3228  ST-800-53-AU-12(
│ │ │ +00092390: 6329 0a20 202d 204e 4953 542d 3830 302d  c).  - NIST-800-
│ │ │ +000923a0: 3533 2d41 552d 3134 2831 290a 2020 2d20  53-AU-14(1).  - 
│ │ │ +000923b0: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +000923c0: 2864 290a 2020 2d20 4e49 5354 2d38 3030  (d).  - NIST-800
│ │ │ +000923d0: 2d35 332d 4155 2d33 0a20 202d 204e 4953  -53-AU-3.  - NIS
│ │ │ +000923e0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +000923f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00092400: 2d53 492d 3428 3233 290a 2020 2d20 5043  -SI-4(23).  - PC
│ │ │ +00092410: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ +00092420: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +00092430: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +00092440: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ +00092450: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00092460: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00092470: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00092480: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00092490: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +000924a0: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ +000924b0: 7276 6963 655f 6175 6469 7464 5f65 6e61  rvice_auditd_ena
│ │ │ +000924c0: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ +000924d0: 6162 6c65 2061 7564 6974 6420 5365 7276  able auditd Serv
│ │ │ +000924e0: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ +000924f0: 7669 6365 2061 7564 6974 640a 2020 626c  vice auditd.  bl
│ │ │ +00092500: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ +00092510: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00092520: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ +00092530: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00092540: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00092550: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ +00092560: 6520 6175 6469 7464 2053 6572 7669 6365  e auditd Service
│ │ │ +00092570: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ +00092580: 6520 6175 6469 7464 0a20 2020 2061 6e73  e auditd.    ans
│ │ │ +00092590: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +000925a0: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +000925b0: 3a20 6175 6469 7464 0a20 2020 2020 2065  : auditd.      e
│ │ │ +000925c0: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +000925d0: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +000925e0: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +000925f0: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +00092600: 2020 2020 2d20 2722 6175 6469 7464 2220      - '"auditd" 
│ │ │ +00092610: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +00092620: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ +00092630: 6e3a 0a20 202d 2027 226c 696e 7578 2d62  n:.  - '"linux-b
│ │ │ +00092640: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00092650: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00092660: 2020 2d20 2722 6175 6469 7464 2220 696e    - '"auditd" in
│ │ │ +00092670: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00092680: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00092690: 0a20 202d 2043 4a49 532d 352e 342e 312e  .  - CJIS-5.4.1.
│ │ │ +000926a0: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ +000926b0: 3731 2d33 2e33 2e31 0a20 202d 204e 4953  71-3.3.1.  - NIS
│ │ │ +000926c0: 542d 3830 302d 3137 312d 332e 332e 320a  T-800-171-3.3.2.
│ │ │ +000926d0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +000926e0: 2d33 2e33 2e36 0a20 202d 204e 4953 542d  -3.3.6.  - NIST-
│ │ │ +000926f0: 3830 302d 3533 2d41 432d 3228 6729 0a20  800-53-AC-2(g). 
│ │ │ +00092700: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00092710: 432d 3628 3929 0a20 202d 204e 4953 542d  C-6(9).  - NIST-
│ │ │ +00092720: 3830 302d 3533 2d41 552d 3130 0a20 202d  800-53-AU-10.  -
│ │ │ +00092730: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00092740: 3132 2863 290a 2020 2d20 4e49 5354 2d38  12(c).  - NIST-8
│ │ │ +00092750: 3030 2d35 332d 4155 2d31 3428 3129 0a20  00-53-AU-14(1). 
│ │ │ +00092760: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00092770: 552d 3228 6429 0a20 202d 204e 4953 542d  U-2(d).  - NIST-
│ │ │ +00092780: 3830 302d 3533 2d41 552d 330a 2020 2d20  800-53-AU-3.  - 
│ │ │ +00092790: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +000927a0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +000927b0: 2d35 332d 5349 2d34 2832 3329 0a20 202d  -53-SI-4(23).  -
│ │ │ +000927c0: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +000927d0: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ +000927e0: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ +000927f0: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ +00092800: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00092810: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00092820: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00092830: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00092840: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00092850: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00092860: 2073 6572 7669 6365 5f61 7564 6974 645f   service_auditd_
│ │ │ +00092870: 656e 6162 6c65 640a 3c2f 636f 6465 3e3c  enabled.</code><
│ │ │ +00092880: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00092890: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000928a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000928b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000928c0: 612d 7461 7267 6574 3d22 2369 646d 3133  a-target="#idm13
│ │ │ +000928d0: 3631 3122 2074 6162 696e 6465 783d 2230  611" tabindex="0
│ │ │ +000928e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +000928f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00092900: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00092910: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00092920: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00092930: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00092940: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00092950: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00092960: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00092970: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00092980: 2069 643d 2269 646d 3133 3631 3122 3e3c   id="idm13611"><
│ │ │ +00092990: 7072 653e 3c63 6f64 653e 0a5b 6375 7374  pre><code>.[cust
│ │ │ +000929a0: 6f6d 697a 6174 696f 6e73 2e73 6572 7669  omizations.servi
│ │ │ +000929b0: 6365 735d 0a65 6e61 626c 6564 203d 205b  ces].enabled = [
│ │ │ +000929c0: 2261 7564 6974 6422 5d0a 3c2f 636f 6465  "auditd"].</code
│ │ │ +000929d0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +000929e0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +000929f0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00092a00: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00092a10: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00092a20: 3133 3631 3222 2074 6162 696e 6465 783d  13612" tabindex=
│ │ │ +00092a30: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00092a40: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00092a50: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00092a60: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00092a70: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00092a80: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00092a90: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00092aa0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00092ab0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00092ac0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00092ad0: 3336 3132 223e 3c74 6162 6c65 2063 6c61  3612"><table cla
│ │ │ +00092ae0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00092af0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00092b00: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00092b10: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00092b20: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00092b30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00092b40: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00092b50: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00092b60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00092b70: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00092b80: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00092b90: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00092ba0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00092bb0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00092bc0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00092bd0: 636c 7564 6520 656e 6162 6c65 5f61 7564  clude enable_aud
│ │ │ +00092be0: 6974 640a 0a63 6c61 7373 2065 6e61 626c  itd..class enabl
│ │ │ +00092bf0: 655f 6175 6469 7464 207b 0a20 2073 6572  e_auditd {.  ser
│ │ │ +00092c00: 7669 6365 207b 2761 7564 6974 6427 3a0a  vice {'auditd':.
│ │ │ +00092c10: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ +00092c20: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ +00092c30: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ +00092c40: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00092c50: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00092c60: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00092c70: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00092c80: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  00092c90: 7461 626c 653e 3c2f 6469 763e 3c64 6976  table></div><div
│ │ │  00092ca0: 2069 643d 2272 6561 722d 6d61 7474 6572   id="rear-matter
│ │ │  00092cb0: 223e 3c64 6976 2063 6c61 7373 3d22 726f  "><div class="ro
│ │ │ ├── html2text {}
│ │ │ │ @@ -2008,31 +2008,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2069,14 +2052,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ssyysslloogg--nngg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The syslog-ng service (in replacement of rsyslog) provides syslog-style logging
│ │ │ │  by default on Debian. The syslog-ng service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable syslog-ng.service
│ │ │ │  Rationale:  The syslog-ng service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │ @@ -2092,31 +2092,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2152,14 +2135,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2172,31 +2172,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2233,14 +2216,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 11. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2257,31 +2257,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2317,14 +2300,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -4128,31 +4128,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4193,14 +4176,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Deprecated services   Group contains 5 rules
│ │ │ │  _[_r_e_f_]   Some deprecated software services impact the overall system security
│ │ │ │  due to their behavior (leak of confidentiality in network exchange, usage as
│ │ │ │  uncontrolled communication channel, risk associated with the service due to its
│ │ │ │  old age, etc.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee iinneett--bbaasseedd tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The inet-based telnet daemon should be uninstalled.
│ │ │ │ @@ -4224,26 +4224,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4268,33 +4256,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4316,34 +4304,34 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ -uninstalled.
│ │ │ │ -           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ -Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ -           cryptographic mechanisms integrated in NTP.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ +include remove_nis
│ │ │ │  
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ +uninstalled.
│ │ │ │ +           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ +Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ +           cryptographic mechanisms integrated in NTP.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4365,14 +4353,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -4390,26 +4390,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4434,14 +4422,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -4460,26 +4460,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4504,14 +4492,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a
│ │ │ │  network. Computer clocks are not very accurate, so time will drift
│ │ │ │  unpredictably on unmanaged systems. Central time protocols can be used both to
│ │ │ │  ensure that time is consistent among a network of systems, and that their time
│ │ │ │  is consistent with the outside world.
│ │ │ │  
│ │ │ │ @@ -4573,31 +4573,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4636,14 +4619,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee tthhee NNTTPP DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ntp service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable ntp.service
│ │ │ │              Enabling the ntp service ensures that the ntp service will be
│ │ │ │              running and that the system will synchronize its time to any
│ │ │ │              servers specified. This is important whether the system is
│ │ │ │              configured to be a client (and synchronize only its own clock) or
│ │ │ │ @@ -4663,31 +4663,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4731,14 +4714,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5621,31 +5621,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5700,14 +5683,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing
│ │ │ │  System, as it is responsible for writing audit records to disk. The auditd
│ │ │ │  service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be
│ │ │ │              difficult to establish, correlate, and investigate the events
│ │ │ │ @@ -5769,31 +5769,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5859,11 +5842,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-anssi_np_nt28_minimal.html
│ │ │ @@ -15651,180 +15651,180 @@
│ │ │  0003d220: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  0003d230: 743d 2223 6964 6d35 3337 3622 2074 6162  t="#idm5376" tab
│ │ │  0003d240: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  0003d250: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  0003d260: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  0003d270: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  0003d280: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0003d290: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0003d2a0: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0003d2b0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0003d2c0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0003d2d0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0003d2e0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0003d2f0: 3533 3736 223e 3c70 7265 3e3c 636f 6465  5376"><pre><code
│ │ │ -0003d300: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -0003d310: 616d 6520 3d20 2273 7973 6c6f 672d 6e67  ame = "syslog-ng
│ │ │ -0003d320: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ -0003d330: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0003d340: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0003d350: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0003d360: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0003d370: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0003d380: 3d22 2369 646d 3533 3737 2220 7461 6269  ="#idm5377" tabi
│ │ │ -0003d390: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0003d3a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0003d3b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0003d3c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0003d3d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0003d3e0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -0003d3f0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -0003d400: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0003d410: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0003d420: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0003d430: 2269 646d 3533 3737 223e 3c74 6162 6c65  "idm5377"><table
│ │ │ -0003d440: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0003d450: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0003d460: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0003d470: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0003d480: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0003d490: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0003d4a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0003d4b0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0003d4c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0003d4d0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0003d4e0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0003d4f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0003d500: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0003d510: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0003d520: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0003d530: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ -0003d540: 6c5f 7379 736c 6f67 2d6e 670a 0a63 6c61  l_syslog-ng..cla
│ │ │ -0003d550: 7373 2069 6e73 7461 6c6c 5f73 7973 6c6f  ss install_syslo
│ │ │ -0003d560: 672d 6e67 207b 0a20 2070 6163 6b61 6765  g-ng {.  package
│ │ │ -0003d570: 207b 2027 7379 736c 6f67 2d6e 6727 3a0a   { 'syslog-ng':.
│ │ │ -0003d580: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -0003d590: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -0003d5a0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0003d5b0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0003d5c0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0003d5d0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0003d5e0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0003d5f0: 7267 6574 3d22 2369 646d 3533 3738 2220  rget="#idm5378" 
│ │ │ -0003d600: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0003d610: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0003d620: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0003d630: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0003d640: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0003d650: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0003d660: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0003d670: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0003d680: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0003d690: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0003d6a0: 2220 6964 3d22 6964 6d35 3337 3822 3e3c  " id="idm5378"><
│ │ │ -0003d6b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0003d6c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0003d6d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0003d6e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0003d6f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0003d700: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0003d710: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d720: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0003d730: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003d740: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0003d750: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0003d760: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d770: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0003d780: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0003d790: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0003d7a0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0003d7b0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0003d7c0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0003d7d0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0003d7e0: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0003d7f0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0003d800: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -0003d810: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0003d820: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0003d830: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0003d840: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0003d850: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0003d860: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0003d870: 2d20 7061 636b 6167 655f 7379 736c 6f67  - package_syslog
│ │ │ -0003d880: 6e67 5f69 6e73 7461 6c6c 6564 0a0a 2d20  ng_installed..- 
│ │ │ -0003d890: 6e61 6d65 3a20 456e 7375 7265 2073 7973  name: Ensure sys
│ │ │ -0003d8a0: 6c6f 672d 6e67 2069 7320 696e 7374 616c  log-ng is instal
│ │ │ -0003d8b0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ -0003d8c0: 2020 206e 616d 653a 2073 7973 6c6f 672d     name: syslog-
│ │ │ -0003d8d0: 6e67 0a20 2020 2073 7461 7465 3a20 7072  ng.    state: pr
│ │ │ -0003d8e0: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ -0003d8f0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -0003d900: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -0003d910: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -0003d920: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0003d930: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -0003d940: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0003d950: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0003d960: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0003d970: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0003d980: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0003d990: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0003d9a0: 636b 6167 655f 7379 736c 6f67 6e67 5f69  ckage_syslogng_i
│ │ │ -0003d9b0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ -0003d9c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0003d9d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0003d9e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0003d9f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0003da00: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │ -0003da10: 3337 3922 2074 6162 696e 6465 783d 2230  379" tabindex="0
│ │ │ -0003da20: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0003da30: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0003da40: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0003da50: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0003da60: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0003da70: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0003da80: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0003da90: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0003daa0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0003dab0: 7365 2220 6964 3d22 6964 6d35 3337 3922  se" id="idm5379"
│ │ │ -0003dac0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0003dad0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0003dae0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0003daf0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0003db00: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0003db10: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0003db20: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0003db30: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0003db40: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0003db50: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0003db60: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0003db70: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0003db80: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0003db90: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0003dba0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0003dbb0: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ -0003dbc0: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ -0003dbd0: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ -0003dbe0: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ -0003dbf0: 6620 6470 6b67 2d71 7565 7279 202d 2d73  f dpkg-query --s
│ │ │ -0003dc00: 686f 7720 2d2d 7368 6f77 666f 726d 6174  how --showformat
│ │ │ -0003dc10: 3d27 247b 6462 3a53 7461 7475 732d 5374  ='${db:Status-St
│ │ │ -0003dc20: 6174 7573 7d0a 2720 276c 696e 7578 2d62  atus}.' 'linux-b
│ │ │ -0003dc30: 6173 6527 2032 2667 743b 2f64 6576 2f6e  ase' 2&gt;/dev/n
│ │ │ -0003dc40: 756c 6c20 7c20 6772 6570 202d 7120 5e69  ull | grep -q ^i
│ │ │ -0003dc50: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a  nstalled; then..
│ │ │ -0003dc60: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -0003dc70: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -0003dc80: 7074 2d67 6574 2069 6e73 7461 6c6c 202d  pt-get install -
│ │ │ -0003dc90: 7920 2273 7973 6c6f 672d 6e67 220a 0a65  y "syslog-ng"..e
│ │ │ -0003dca0: 6c73 650a 2020 2020 2667 743b 2661 6d70  lse.    &gt;&amp
│ │ │ -0003dcb0: 3b32 2065 6368 6f20 2752 656d 6564 6961  ;2 echo 'Remedia
│ │ │ -0003dcc0: 7469 6f6e 2069 7320 6e6f 7420 6170 706c  tion is not appl
│ │ │ -0003dcd0: 6963 6162 6c65 2c20 6e6f 7468 696e 6720  icable, nothing 
│ │ │ -0003dce0: 7761 7320 646f 6e65 270a 6669 0a3c 2f63  was done'.fi.</c
│ │ │ +0003d290: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0003d2a0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0003d2b0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0003d2c0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0003d2d0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0003d2e0: 643d 2269 646d 3533 3736 223e 3c74 6162  d="idm5376"><tab
│ │ │ +0003d2f0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0003d300: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0003d310: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0003d320: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0003d330: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0003d340: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003d350: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0003d360: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0003d370: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0003d380: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0003d390: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0003d3a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0003d3b0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0003d3c0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0003d3d0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0003d3e0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +0003d3f0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +0003d400: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +0003d410: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +0003d420: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +0003d430: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0003d440: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +0003d450: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0003d460: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0003d470: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0003d480: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +0003d490: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +0003d4a0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0003d4b0: 6163 6b61 6765 5f73 7973 6c6f 676e 675f  ackage_syslogng_
│ │ │ +0003d4c0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ +0003d4d0: 653a 2045 6e73 7572 6520 7379 736c 6f67  e: Ensure syslog
│ │ │ +0003d4e0: 2d6e 6720 6973 2069 6e73 7461 6c6c 6564  -ng is installed
│ │ │ +0003d4f0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +0003d500: 6e61 6d65 3a20 7379 736c 6f67 2d6e 670a  name: syslog-ng.
│ │ │ +0003d510: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ +0003d520: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ +0003d530: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +0003d540: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +0003d550: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +0003d560: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0003d570: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ +0003d580: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0003d590: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0003d5a0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0003d5b0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0003d5c0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0003d5d0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0003d5e0: 6765 5f73 7973 6c6f 676e 675f 696e 7374  ge_syslogng_inst
│ │ │ +0003d5f0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +0003d600: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0003d610: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0003d620: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0003d630: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0003d640: 7461 7267 6574 3d22 2369 646d 3533 3737  target="#idm5377
│ │ │ +0003d650: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0003d660: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0003d670: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0003d680: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0003d690: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0003d6a0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0003d6b0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +0003d6c0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0003d6d0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0003d6e0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0003d6f0: 2069 643d 2269 646d 3533 3737 223e 3c74   id="idm5377"><t
│ │ │ +0003d700: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0003d710: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0003d720: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0003d730: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0003d740: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0003d750: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0003d760: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0003d770: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0003d780: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0003d790: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0003d7a0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0003d7b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0003d7c0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0003d7d0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0003d7e0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0003d7f0: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ +0003d800: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ +0003d810: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ +0003d820: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ +0003d830: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ +0003d840: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ +0003d850: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ +0003d860: 737d 0a27 2027 6c69 6e75 782d 6261 7365  s}.' 'linux-base
│ │ │ +0003d870: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c  ' 2&gt;/dev/null
│ │ │ +0003d880: 207c 2067 7265 7020 2d71 205e 696e 7374   | grep -q ^inst
│ │ │ +0003d890: 616c 6c65 643b 2074 6865 6e0a 0a44 4542  alled; then..DEB
│ │ │ +0003d8a0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +0003d8b0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +0003d8c0: 6765 7420 696e 7374 616c 6c20 2d79 2022  get install -y "
│ │ │ +0003d8d0: 7379 736c 6f67 2d6e 6722 0a0a 656c 7365  syslog-ng"..else
│ │ │ +0003d8e0: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +0003d8f0: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +0003d900: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +0003d910: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +0003d920: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +0003d930: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0003d940: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0003d950: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0003d960: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0003d970: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0003d980: 3533 3738 2220 7461 6269 6e64 6578 3d22  5378" tabindex="
│ │ │ +0003d990: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0003d9a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0003d9b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0003d9c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0003d9d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0003d9e0: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +0003d9f0: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +0003da00: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0003da10: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0003da20: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0003da30: 2220 6964 3d22 6964 6d35 3337 3822 3e3c  " id="idm5378"><
│ │ │ +0003da40: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ +0003da50: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ +0003da60: 7379 736c 6f67 2d6e 6722 0a76 6572 7369  syslog-ng".versi
│ │ │ +0003da70: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ +0003da80: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0003da90: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0003daa0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0003dab0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0003dac0: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │ +0003dad0: 3337 3922 2074 6162 696e 6465 783d 2230  379" tabindex="0
│ │ │ +0003dae0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0003daf0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0003db00: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0003db10: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0003db20: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0003db30: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0003db40: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0003db50: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0003db60: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0003db70: 6170 7365 2220 6964 3d22 6964 6d35 3337  apse" id="idm537
│ │ │ +0003db80: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ +0003db90: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0003dba0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0003dbb0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0003dbc0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0003dbd0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0003dbe0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0003dbf0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0003dc00: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003dc10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0003dc20: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0003dc30: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0003dc40: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0003dc50: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0003dc60: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0003dc70: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +0003dc80: 6465 2069 6e73 7461 6c6c 5f73 7973 6c6f  de install_syslo
│ │ │ +0003dc90: 672d 6e67 0a0a 636c 6173 7320 696e 7374  g-ng..class inst
│ │ │ +0003dca0: 616c 6c5f 7379 736c 6f67 2d6e 6720 7b0a  all_syslog-ng {.
│ │ │ +0003dcb0: 2020 7061 636b 6167 6520 7b20 2773 7973    package { 'sys
│ │ │ +0003dcc0: 6c6f 672d 6e67 273a 0a20 2020 2065 6e73  log-ng':.    ens
│ │ │ +0003dcd0: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +0003dce0: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │  0003dcf0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  0003dd00: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  0003dd10: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  0003dd20: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  0003dd30: 7461 2d74 742d 6964 3d22 7863 6364 665f  ta-tt-id="xccdf_
│ │ │  0003dd40: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  0003dd50: 6f6e 7465 6e74 5f72 756c 655f 7365 7276  ontent_rule_serv
│ │ │ @@ -16039,151 +16039,151 @@
│ │ │  0003ea60: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0003ea70: 6d35 3436 3322 2074 6162 696e 6465 783d  m5463" tabindex=
│ │ │  0003ea80: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  0003ea90: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  0003eaa0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  0003eab0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  0003eac0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0003ead0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -0003eae0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -0003eaf0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0003eb00: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0003eb10: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0003eb20: 6522 2069 643d 2269 646d 3534 3633 223e  e" id="idm5463">
│ │ │ -0003eb30: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ -0003eb40: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ -0003eb50: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ -0003eb60: 5b22 7379 736c 6f67 2d6e 6722 5d0a 3c2f  ["syslog-ng"].</
│ │ │ -0003eb70: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0003eb80: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0003eb90: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0003eba0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0003ebb0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0003ebc0: 2369 646d 3534 3634 2220 7461 6269 6e64  #idm5464" tabind
│ │ │ -0003ebd0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0003ebe0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0003ebf0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0003ec00: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0003ec10: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0003ec20: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0003ec30: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0003ec40: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0003ec50: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0003ec60: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0003ec70: 646d 3534 3634 223e 3c74 6162 6c65 2063  dm5464"><table c
│ │ │ -0003ec80: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0003ec90: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0003eca0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0003ecb0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0003ecc0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0003ecd0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003ece0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0003ecf0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0003ed00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0003ed10: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0003ed20: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0003ed30: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0003ed40: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -0003ed50: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0003ed60: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0003ed70: 696e 636c 7564 6520 656e 6162 6c65 5f73  include enable_s
│ │ │ -0003ed80: 7973 6c6f 672d 6e67 0a0a 636c 6173 7320  yslog-ng..class 
│ │ │ -0003ed90: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ -0003eda0: 207b 0a20 2073 6572 7669 6365 207b 2773   {.  service {'s
│ │ │ -0003edb0: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ -0003edc0: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ -0003edd0: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ -0003ede0: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ -0003edf0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0003ee00: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0003ee10: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0003ee20: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0003ee30: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0003ee40: 7267 6574 3d22 2369 646d 3534 3635 2220  rget="#idm5465" 
│ │ │ -0003ee50: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0003ee60: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0003ee70: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0003ee80: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0003ee90: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0003eea0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0003eeb0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0003eec0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0003eed0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0003eee0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0003eef0: 2220 6964 3d22 6964 6d35 3436 3522 3e3c  " id="idm5465"><
│ │ │ -0003ef00: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0003ef10: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0003ef20: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0003ef30: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0003ef40: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0003ef50: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0003ef60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003ef70: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0003ef80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003ef90: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0003efa0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0003efb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003efc0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0003efd0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0003efe0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0003eff0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0003f000: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0003f010: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0003f020: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0003f030: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0003f040: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0003f050: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -0003f060: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0003f070: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0003f080: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0003f090: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0003f0a0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0003f0b0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0003f0c0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0003f0d0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0003f0e0: 655f 7379 736c 6f67 6e67 5f65 6e61 626c  e_syslogng_enabl
│ │ │ -0003f0f0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ -0003f100: 6c65 2073 7973 6c6f 672d 6e67 2053 6572  le syslog-ng Ser
│ │ │ -0003f110: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -0003f120: 7276 6963 6520 7379 736c 6f67 2d6e 670a  rvice syslog-ng.
│ │ │ -0003f130: 2020 626c 6f63 6b3a 0a0a 2020 2d20 6e61    block:..  - na
│ │ │ -0003f140: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -0003f150: 6163 6b61 6765 2066 6163 7473 0a20 2020  ackage facts.   
│ │ │ -0003f160: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0003f170: 2020 2020 2020 6d61 6e61 6765 723a 2061        manager: a
│ │ │ -0003f180: 7574 6f0a 0a20 202d 206e 616d 653a 2045  uto..  - name: E
│ │ │ -0003f190: 6e61 626c 6520 7379 736c 6f67 2d6e 6720  nable syslog-ng 
│ │ │ -0003f1a0: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -0003f1b0: 2053 6572 7669 6365 2073 7973 6c6f 672d   Service syslog-
│ │ │ -0003f1c0: 6e67 0a20 2020 2061 6e73 6962 6c65 2e62  ng.    ansible.b
│ │ │ -0003f1d0: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ -0003f1e0: 2020 2020 2020 6e61 6d65 3a20 7379 736c        name: sysl
│ │ │ -0003f1f0: 6f67 2d6e 670a 2020 2020 2020 656e 6162  og-ng.      enab
│ │ │ -0003f200: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ -0003f210: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ -0003f220: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ -0003f230: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ -0003f240: 202d 2027 2273 7973 6c6f 672d 6e67 2220   - '"syslog-ng" 
│ │ │ -0003f250: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -0003f260: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ -0003f270: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -0003f280: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -0003f290: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -0003f2a0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0003f2b0: 2d35 332d 4155 2d34 2831 290a 2020 2d20  -53-AU-4(1).  - 
│ │ │ -0003f2c0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -0003f2d0: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -0003f2e0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0003f2f0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0003f300: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0003f310: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0003f320: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -0003f330: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ -0003f340: 6365 5f73 7973 6c6f 676e 675f 656e 6162  ce_syslogng_enab
│ │ │ -0003f350: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +0003ead0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +0003eae0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0003eaf0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0003eb00: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0003eb10: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0003eb20: 3534 3633 223e 3c74 6162 6c65 2063 6c61  5463"><table cla
│ │ │ +0003eb30: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0003eb40: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0003eb50: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0003eb60: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0003eb70: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0003eb80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0003eb90: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0003eba0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0003ebb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003ebc0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0003ebd0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0003ebe0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0003ebf0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +0003ec00: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0003ec10: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +0003ec20: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +0003ec30: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +0003ec40: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +0003ec50: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +0003ec60: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +0003ec70: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ +0003ec80: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0003ec90: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +0003eca0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0003ecb0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0003ecc0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0003ecd0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0003ece0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0003ecf0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0003ed00: 2073 6572 7669 6365 5f73 7973 6c6f 676e   service_syslogn
│ │ │ +0003ed10: 675f 656e 6162 6c65 640a 0a2d 206e 616d  g_enabled..- nam
│ │ │ +0003ed20: 653a 2045 6e61 626c 6520 7379 736c 6f67  e: Enable syslog
│ │ │ +0003ed30: 2d6e 6720 5365 7276 6963 6520 2d20 456e  -ng Service - En
│ │ │ +0003ed40: 6162 6c65 2073 6572 7669 6365 2073 7973  able service sys
│ │ │ +0003ed50: 6c6f 672d 6e67 0a20 2062 6c6f 636b 3a0a  log-ng.  block:.
│ │ │ +0003ed60: 0a20 202d 206e 616d 653a 2047 6174 6865  .  - name: Gathe
│ │ │ +0003ed70: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +0003ed80: 6374 730a 2020 2020 7061 636b 6167 655f  cts.    package_
│ │ │ +0003ed90: 6661 6374 733a 0a20 2020 2020 206d 616e  facts:.      man
│ │ │ +0003eda0: 6167 6572 3a20 6175 746f 0a0a 2020 2d20  ager: auto..  - 
│ │ │ +0003edb0: 6e61 6d65 3a20 456e 6162 6c65 2073 7973  name: Enable sys
│ │ │ +0003edc0: 6c6f 672d 6e67 2053 6572 7669 6365 202d  log-ng Service -
│ │ │ +0003edd0: 2045 6e61 626c 6520 5365 7276 6963 6520   Enable Service 
│ │ │ +0003ede0: 7379 736c 6f67 2d6e 670a 2020 2020 616e  syslog-ng.    an
│ │ │ +0003edf0: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ +0003ee00: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ +0003ee10: 653a 2073 7973 6c6f 672d 6e67 0a20 2020  e: syslog-ng.   
│ │ │ +0003ee20: 2020 2065 6e61 626c 6564 3a20 7472 7565     enabled: true
│ │ │ +0003ee30: 0a20 2020 2020 2073 7461 7465 3a20 7374  .      state: st
│ │ │ +0003ee40: 6172 7465 640a 2020 2020 2020 6d61 736b  arted.      mask
│ │ │ +0003ee50: 6564 3a20 6661 6c73 650a 2020 2020 7768  ed: false.    wh
│ │ │ +0003ee60: 656e 3a0a 2020 2020 2d20 2722 7379 736c  en:.    - '"sysl
│ │ │ +0003ee70: 6f67 2d6e 6722 2069 6e20 616e 7369 626c  og-ng" in ansibl
│ │ │ +0003ee80: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +0003ee90: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ +0003eea0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +0003eeb0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +0003eec0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +0003eed0: 4953 542d 3830 302d 3533 2d41 552d 3428  IST-800-53-AU-4(
│ │ │ +0003eee0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ +0003eef0: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ +0003ef00: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +0003ef10: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +0003ef20: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +0003ef30: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +0003ef40: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +0003ef50: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +0003ef60: 2d20 7365 7276 6963 655f 7379 736c 6f67  - service_syslog
│ │ │ +0003ef70: 6e67 5f65 6e61 626c 6564 0a3c 2f63 6f64  ng_enabled.</cod
│ │ │ +0003ef80: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0003ef90: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0003efa0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0003efb0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0003efc0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0003efd0: 6d35 3436 3422 2074 6162 696e 6465 783d  m5464" tabindex=
│ │ │ +0003efe0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0003eff0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0003f000: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0003f010: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0003f020: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0003f030: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +0003f040: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +0003f050: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0003f060: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0003f070: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0003f080: 6522 2069 643d 2269 646d 3534 3634 223e  e" id="idm5464">
│ │ │ +0003f090: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ +0003f0a0: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ +0003f0b0: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ +0003f0c0: 5b22 7379 736c 6f67 2d6e 6722 5d0a 3c2f  ["syslog-ng"].</
│ │ │ +0003f0d0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0003f0e0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0003f0f0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0003f100: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0003f110: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0003f120: 2369 646d 3534 3635 2220 7461 6269 6e64  #idm5465" tabind
│ │ │ +0003f130: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +0003f140: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +0003f150: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +0003f160: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +0003f170: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +0003f180: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +0003f190: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +0003f1a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0003f1b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0003f1c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0003f1d0: 646d 3534 3635 223e 3c74 6162 6c65 2063  dm5465"><table c
│ │ │ +0003f1e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0003f1f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0003f200: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0003f210: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0003f220: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0003f230: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0003f240: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0003f250: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0003f260: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0003f270: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0003f280: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0003f290: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0003f2a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +0003f2b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0003f2c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0003f2d0: 696e 636c 7564 6520 656e 6162 6c65 5f73  include enable_s
│ │ │ +0003f2e0: 7973 6c6f 672d 6e67 0a0a 636c 6173 7320  yslog-ng..class 
│ │ │ +0003f2f0: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ +0003f300: 207b 0a20 2073 6572 7669 6365 207b 2773   {.  service {'s
│ │ │ +0003f310: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ +0003f320: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ +0003f330: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ +0003f340: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ +0003f350: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  0003f360: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  0003f370: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  0003f380: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  0003f390: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  0003f3a0: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  0003f3b0: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  0003f3c0: 6c65 5f70 6163 6b61 6765 5f72 7379 736c  le_package_rsysl
│ │ │ @@ -16391,178 +16391,178 @@
│ │ │  00040060: 6574 3d22 2369 646d 3438 3337 2220 7461  et="#idm4837" ta
│ │ │  00040070: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00040080: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00040090: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  000400a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  000400b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  000400c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000400d0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -000400e0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000400f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00040100: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00040110: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00040120: 6d34 3833 3722 3e3c 7072 653e 3c63 6f64  m4837"><pre><cod
│ │ │ -00040130: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ -00040140: 6e61 6d65 203d 2022 7273 7973 6c6f 6722  name = "rsyslog"
│ │ │ -00040150: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ -00040160: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00040170: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00040180: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00040190: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -000401a0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -000401b0: 2223 6964 6d34 3833 3822 2074 6162 696e  "#idm4838" tabin
│ │ │ -000401c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000401d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000401e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000401f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00040200: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00040210: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00040220: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00040230: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00040240: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00040250: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00040260: 6964 6d34 3833 3822 3e3c 7461 626c 6520  idm4838"><table 
│ │ │ -00040270: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00040280: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00040290: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -000402a0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -000402b0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -000402c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000402d0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -000402e0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000402f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00040300: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00040310: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00040320: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00040330: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00040340: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00040350: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00040360: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -00040370: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ -00040380: 696e 7374 616c 6c5f 7273 7973 6c6f 6720  install_rsyslog 
│ │ │ -00040390: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ -000403a0: 7379 736c 6f67 273a 0a20 2020 2065 6e73  syslog':.    ens
│ │ │ -000403b0: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ -000403c0: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │ -000403d0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -000403e0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -000403f0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00040400: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00040410: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00040420: 6964 6d34 3833 3922 2074 6162 696e 6465  idm4839" tabinde
│ │ │ -00040430: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00040440: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00040450: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00040460: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00040470: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00040480: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00040490: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -000404a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000404b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000404c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000404d0: 646d 3438 3339 223e 3c74 6162 6c65 2063  dm4839"><table c
│ │ │ -000404e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -000404f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00040500: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00040510: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00040520: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00040530: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00040540: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00040550: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00040560: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00040570: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00040580: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00040590: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000405a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000405b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000405c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000405d0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -000405e0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -000405f0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -00040600: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -00040610: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -00040620: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -00040630: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -00040640: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00040650: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00040660: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00040670: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00040680: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00040690: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000406a0: 6765 5f72 7379 736c 6f67 5f69 6e73 7461  ge_rsyslog_insta
│ │ │ -000406b0: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -000406c0: 7375 7265 2072 7379 736c 6f67 2069 7320  sure rsyslog is 
│ │ │ -000406d0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ -000406e0: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ -000406f0: 7379 736c 6f67 0a20 2020 2073 7461 7465  syslog.    state
│ │ │ -00040700: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -00040710: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00040720: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00040730: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00040740: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00040750: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -00040760: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00040770: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00040780: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00040790: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -000407a0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000407b0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000407c0: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ -000407d0: 675f 696e 7374 616c 6c65 640a 3c2f 636f  g_installed.</co
│ │ │ -000407e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000407f0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00040800: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00040810: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00040820: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00040830: 646d 3438 3430 2220 7461 6269 6e64 6578  dm4840" tabindex
│ │ │ -00040840: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00040850: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00040860: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00040870: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00040880: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00040890: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ -000408a0: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ -000408b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000408c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000408d0: 6c61 7073 6522 2069 643d 2269 646d 3438  lapse" id="idm48
│ │ │ -000408e0: 3430 223e 3c74 6162 6c65 2063 6c61 7373  40"><table class
│ │ │ -000408f0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00040900: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00040910: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00040920: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00040930: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00040940: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00040950: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00040960: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00040970: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00040980: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00040990: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -000409a0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -000409b0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -000409c0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -000409d0: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ -000409e0: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ -000409f0: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ -00040a00: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ -00040a10: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ -00040a20: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ -00040a30: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ -00040a40: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ -00040a50: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ -00040a60: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ -00040a70: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ -00040a80: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ -00040a90: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -00040aa0: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ -00040ab0: 6c20 2d79 2022 7273 7973 6c6f 6722 0a0a  l -y "rsyslog"..
│ │ │ -00040ac0: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ -00040ad0: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ -00040ae0: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ -00040af0: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ -00040b00: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +000400d0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +000400e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000400f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00040100: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00040110: 6964 3d22 6964 6d34 3833 3722 3e3c 7461  id="idm4837"><ta
│ │ │ +00040120: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00040130: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00040140: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00040150: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00040160: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00040170: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00040180: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00040190: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000401a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000401b0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000401c0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000401d0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000401e0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000401f0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00040200: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00040210: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +00040220: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00040230: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +00040240: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +00040250: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +00040260: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00040270: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00040280: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00040290: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +000402a0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +000402b0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +000402c0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +000402d0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +000402e0: 7061 636b 6167 655f 7273 7973 6c6f 675f  package_rsyslog_
│ │ │ +000402f0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ +00040300: 653a 2045 6e73 7572 6520 7273 7973 6c6f  e: Ensure rsyslo
│ │ │ +00040310: 6720 6973 2069 6e73 7461 6c6c 6564 0a20  g is installed. 
│ │ │ +00040320: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00040330: 6d65 3a20 7273 7973 6c6f 670a 2020 2020  me: rsyslog.    
│ │ │ +00040340: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +00040350: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00040360: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00040370: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00040380: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00040390: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +000403a0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +000403b0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +000403c0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000403d0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +000403e0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +000403f0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00040400: 6564 0a20 202d 2070 6163 6b61 6765 5f72  ed.  - package_r
│ │ │ +00040410: 7379 736c 6f67 5f69 6e73 7461 6c6c 6564  syslog_installed
│ │ │ +00040420: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00040430: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00040440: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00040450: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00040460: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00040470: 743d 2223 6964 6d34 3833 3822 2074 6162  t="#idm4838" tab
│ │ │ +00040480: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00040490: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +000404a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000404b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000404c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000404d0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ +000404e0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ +000404f0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00040500: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00040510: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00040520: 6964 6d34 3833 3822 3e3c 7461 626c 6520  idm4838"><table 
│ │ │ +00040530: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00040540: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00040550: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00040560: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00040570: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00040580: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00040590: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000405a0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000405b0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000405c0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000405d0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000405e0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +000405f0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00040600: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00040610: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00040620: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ +00040630: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ +00040640: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ +00040650: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ +00040660: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ +00040670: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ +00040680: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ +00040690: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ +000406a0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ +000406b0: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ +000406c0: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ +000406d0: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +000406e0: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ +000406f0: 6e73 7461 6c6c 202d 7920 2272 7379 736c  nstall -y "rsysl
│ │ │ +00040700: 6f67 220a 0a65 6c73 650a 2020 2020 2667  og"..else.    &g
│ │ │ +00040710: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ +00040720: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ +00040730: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ +00040740: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ +00040750: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +00040760: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00040770: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00040780: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00040790: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +000407a0: 6765 743d 2223 6964 6d34 3833 3922 2074  get="#idm4839" t
│ │ │ +000407b0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +000407c0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +000407d0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +000407e0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +000407f0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00040800: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00040810: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +00040820: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +00040830: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00040840: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00040850: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00040860: 646d 3438 3339 223e 3c70 7265 3e3c 636f  dm4839"><pre><co
│ │ │ +00040870: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ +00040880: 0a6e 616d 6520 3d20 2272 7379 736c 6f67  .name = "rsyslog
│ │ │ +00040890: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ +000408a0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000408b0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000408c0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000408d0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +000408e0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000408f0: 3d22 2369 646d 3438 3430 2220 7461 6269  ="#idm4840" tabi
│ │ │ +00040900: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00040910: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00040920: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00040930: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00040940: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00040950: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00040960: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00040970: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00040980: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00040990: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000409a0: 2269 646d 3438 3430 223e 3c74 6162 6c65  "idm4840"><table
│ │ │ +000409b0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000409c0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000409d0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000409e0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000409f0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00040a00: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00040a10: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00040a20: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00040a30: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00040a40: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00040a50: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00040a60: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00040a70: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00040a80: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00040a90: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00040aa0: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ +00040ab0: 6c5f 7273 7973 6c6f 670a 0a63 6c61 7373  l_rsyslog..class
│ │ │ +00040ac0: 2069 6e73 7461 6c6c 5f72 7379 736c 6f67   install_rsyslog
│ │ │ +00040ad0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00040ae0: 7273 7973 6c6f 6727 3a0a 2020 2020 656e  rsyslog':.    en
│ │ │ +00040af0: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ +00040b00: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │  00040b10: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00040b20: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  00040b30: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  00040b40: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  00040b50: 6174 612d 7474 2d69 643d 2278 6363 6466  ata-tt-id="xccdf
│ │ │  00040b60: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  00040b70: 636f 6e74 656e 745f 7275 6c65 5f73 6572  content_rule_ser
│ │ │ @@ -16791,149 +16791,149 @@
│ │ │  00041960: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00041970: 6964 6d34 3932 3322 2074 6162 696e 6465  idm4923" tabinde
│ │ │  00041980: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00041990: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  000419a0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  000419b0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  000419c0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000419d0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -000419e0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -000419f0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00041a00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00041a10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00041a20: 7073 6522 2069 643d 2269 646d 3439 3233  pse" id="idm4923
│ │ │ -00041a30: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -00041a40: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -00041a50: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -00041a60: 3d20 5b22 7273 7973 6c6f 6722 5d0a 3c2f  = ["rsyslog"].</
│ │ │ -00041a70: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00041a80: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00041a90: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00041aa0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00041ab0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00041ac0: 2369 646d 3439 3234 2220 7461 6269 6e64  #idm4924" tabind
│ │ │ -00041ad0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00041ae0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00041af0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00041b00: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00041b10: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00041b20: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -00041b30: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00041b40: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00041b50: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00041b60: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00041b70: 646d 3439 3234 223e 3c74 6162 6c65 2063  dm4924"><table c
│ │ │ -00041b80: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00041b90: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00041ba0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00041bb0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00041bc0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00041bd0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00041be0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00041bf0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00041c00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00041c10: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00041c20: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00041c30: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00041c40: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00041c50: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00041c60: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00041c70: 696e 636c 7564 6520 656e 6162 6c65 5f72  include enable_r
│ │ │ -00041c80: 7379 736c 6f67 0a0a 636c 6173 7320 656e  syslog..class en
│ │ │ -00041c90: 6162 6c65 5f72 7379 736c 6f67 207b 0a20  able_rsyslog {. 
│ │ │ -00041ca0: 2073 6572 7669 6365 207b 2772 7379 736c   service {'rsysl
│ │ │ -00041cb0: 6f67 273a 0a20 2020 2065 6e61 626c 6520  og':.    enable 
│ │ │ -00041cc0: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00041cd0: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00041ce0: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00041cf0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00041d00: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00041d10: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00041d20: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00041d30: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00041d40: 2369 646d 3439 3235 2220 7461 6269 6e64  #idm4925" tabind
│ │ │ -00041d50: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00041d60: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00041d70: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00041d80: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00041d90: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00041da0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -00041db0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -00041dc0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00041dd0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00041de0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00041df0: 6964 6d34 3932 3522 3e3c 7461 626c 6520  idm4925"><table 
│ │ │ -00041e00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00041e10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00041e20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00041e30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00041e40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00041e50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00041e60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00041e70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00041e80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00041e90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00041ea0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00041eb0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00041ec0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00041ed0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00041ee0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00041ef0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -00041f00: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00041f10: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -00041f20: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -00041f30: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -00041f40: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00041f50: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ -00041f60: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00041f70: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00041f80: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00041f90: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00041fa0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00041fb0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00041fc0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00041fd0: 2020 2d20 7365 7276 6963 655f 7273 7973    - service_rsys
│ │ │ -00041fe0: 6c6f 675f 656e 6162 6c65 640a 0a2d 206e  log_enabled..- n
│ │ │ -00041ff0: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ -00042000: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ -00042010: 6162 6c65 2073 6572 7669 6365 2072 7379  able service rsy
│ │ │ -00042020: 736c 6f67 0a20 2062 6c6f 636b 3a0a 0a20  slog.  block:.. 
│ │ │ -00042030: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ -00042040: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00042050: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ -00042060: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ -00042070: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ -00042080: 6d65 3a20 456e 6162 6c65 2072 7379 736c  me: Enable rsysl
│ │ │ -00042090: 6f67 2053 6572 7669 6365 202d 2045 6e61  og Service - Ena
│ │ │ -000420a0: 626c 6520 5365 7276 6963 6520 7273 7973  ble Service rsys
│ │ │ -000420b0: 6c6f 670a 2020 2020 616e 7369 626c 652e  log.    ansible.
│ │ │ -000420c0: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ -000420d0: 0a20 2020 2020 206e 616d 653a 2072 7379  .      name: rsy
│ │ │ -000420e0: 736c 6f67 0a20 2020 2020 2065 6e61 626c  slog.      enabl
│ │ │ -000420f0: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ -00042100: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ -00042110: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ -00042120: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ -00042130: 2d20 2722 7273 7973 6c6f 6722 2069 6e20  - '"rsyslog" in 
│ │ │ -00042140: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00042150: 636b 6167 6573 270a 2020 7768 656e 3a20  ckages'.  when: 
│ │ │ -00042160: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00042170: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00042180: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -00042190: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000421a0: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ -000421b0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -000421c0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -000421d0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -000421e0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -000421f0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00042200: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00042210: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00042220: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -00042230: 7273 7973 6c6f 675f 656e 6162 6c65 640a  rsyslog_enabled.
│ │ │ +000419d0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +000419e0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +000419f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00041a00: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00041a10: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00041a20: 646d 3439 3233 223e 3c74 6162 6c65 2063  dm4923"><table c
│ │ │ +00041a30: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00041a40: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00041a50: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00041a60: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00041a70: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00041a80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00041a90: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00041aa0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00041ab0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00041ac0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00041ad0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00041ae0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00041af0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00041b00: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00041b10: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00041b20: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00041b30: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00041b40: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00041b50: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00041b60: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00041b70: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ +00041b80: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00041b90: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00041ba0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00041bb0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00041bc0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00041bd0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00041be0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00041bf0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00041c00: 202d 2073 6572 7669 6365 5f72 7379 736c   - service_rsysl
│ │ │ +00041c10: 6f67 5f65 6e61 626c 6564 0a0a 2d20 6e61  og_enabled..- na
│ │ │ +00041c20: 6d65 3a20 456e 6162 6c65 2072 7379 736c  me: Enable rsysl
│ │ │ +00041c30: 6f67 2053 6572 7669 6365 202d 2045 6e61  og Service - Ena
│ │ │ +00041c40: 626c 6520 7365 7276 6963 6520 7273 7973  ble service rsys
│ │ │ +00041c50: 6c6f 670a 2020 626c 6f63 6b3a 0a0a 2020  log.  block:..  
│ │ │ +00041c60: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00041c70: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00041c80: 0a20 2020 2070 6163 6b61 6765 5f66 6163  .    package_fac
│ │ │ +00041c90: 7473 3a0a 2020 2020 2020 6d61 6e61 6765  ts:.      manage
│ │ │ +00041ca0: 723a 2061 7574 6f0a 0a20 202d 206e 616d  r: auto..  - nam
│ │ │ +00041cb0: 653a 2045 6e61 626c 6520 7273 7973 6c6f  e: Enable rsyslo
│ │ │ +00041cc0: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ +00041cd0: 6c65 2053 6572 7669 6365 2072 7379 736c  le Service rsysl
│ │ │ +00041ce0: 6f67 0a20 2020 2061 6e73 6962 6c65 2e62  og.    ansible.b
│ │ │ +00041cf0: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ +00041d00: 2020 2020 2020 6e61 6d65 3a20 7273 7973        name: rsys
│ │ │ +00041d10: 6c6f 670a 2020 2020 2020 656e 6162 6c65  log.      enable
│ │ │ +00041d20: 643a 2074 7275 650a 2020 2020 2020 7374  d: true.      st
│ │ │ +00041d30: 6174 653a 2073 7461 7274 6564 0a20 2020  ate: started.   
│ │ │ +00041d40: 2020 206d 6173 6b65 643a 2066 616c 7365     masked: false
│ │ │ +00041d50: 0a20 2020 2077 6865 6e3a 0a20 2020 202d  .    when:.    -
│ │ │ +00041d60: 2027 2272 7379 736c 6f67 2220 696e 2061   '"rsyslog" in a
│ │ │ +00041d70: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +00041d80: 6b61 6765 7327 0a20 2077 6865 6e3a 2027  kages'.  when: '
│ │ │ +00041d90: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +00041da0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00041db0: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +00041dc0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00041dd0: 4155 2d34 2831 290a 2020 2d20 4e49 5354  AU-4(1).  - NIST
│ │ │ +00041de0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00041df0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +00041e00: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00041e10: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00041e20: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00041e30: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00041e40: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00041e50: 6564 0a20 202d 2073 6572 7669 6365 5f72  ed.  - service_r
│ │ │ +00041e60: 7379 736c 6f67 5f65 6e61 626c 6564 0a3c  syslog_enabled.<
│ │ │ +00041e70: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00041e80: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00041e90: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00041ea0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00041eb0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00041ec0: 2223 6964 6d34 3932 3422 2074 6162 696e  "#idm4924" tabin
│ │ │ +00041ed0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00041ee0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00041ef0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00041f00: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00041f10: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00041f20: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00041f30: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00041f40: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00041f50: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00041f60: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00041f70: 6c61 7073 6522 2069 643d 2269 646d 3439  lapse" id="idm49
│ │ │ +00041f80: 3234 223e 3c70 7265 3e3c 636f 6465 3e0a  24"><pre><code>.
│ │ │ +00041f90: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ +00041fa0: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ +00041fb0: 6420 3d20 5b22 7273 7973 6c6f 6722 5d0a  d = ["rsyslog"].
│ │ │ +00041fc0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00041fd0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00041fe0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00041ff0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00042000: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00042010: 3d22 2369 646d 3439 3235 2220 7461 6269  ="#idm4925" tabi
│ │ │ +00042020: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00042030: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00042040: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00042050: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00042060: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00042070: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00042080: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00042090: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000420a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000420b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000420c0: 2269 646d 3439 3235 223e 3c74 6162 6c65  "idm4925"><table
│ │ │ +000420d0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000420e0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000420f0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00042100: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00042110: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00042120: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00042130: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00042140: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00042150: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00042160: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00042170: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00042180: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00042190: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +000421a0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000421b0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000421c0: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ +000421d0: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ +000421e0: 656e 6162 6c65 5f72 7379 736c 6f67 207b  enable_rsyslog {
│ │ │ +000421f0: 0a20 2073 6572 7669 6365 207b 2772 7379  .  service {'rsy
│ │ │ +00042200: 736c 6f67 273a 0a20 2020 2065 6e61 626c  slog':.    enabl
│ │ │ +00042210: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +00042220: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00042230: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │  00042240: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00042250: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00042260: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00042270: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00042280: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  00042290: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  000422a0: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -22145,146 +22145,146 @@
│ │ │  00056800: 6574 3d22 2369 646d 3937 3236 2220 7461  et="#idm9726" ta
│ │ │  00056810: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00056820: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00056830: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  00056840: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  00056850: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00056860: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00056870: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -00056880: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00056890: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000568a0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -000568b0: 643d 2269 646d 3937 3236 223e 3c74 6162  d="idm9726"><tab
│ │ │ -000568c0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000568d0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000568e0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -000568f0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00056900: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00056910: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00056920: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00056930: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00056940: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00056950: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00056960: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00056970: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00056980: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00056990: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -000569a0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -000569b0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -000569c0: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ -000569d0: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ -000569e0: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ -000569f0: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ -00056a00: 6520 7b20 2769 6e65 7475 7469 6c73 2d74  e { 'inetutils-t
│ │ │ -00056a10: 656c 6e65 7464 273a 0a20 2020 2065 6e73  elnetd':.    ens
│ │ │ -00056a20: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00056a30: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00056a40: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00056a50: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00056a60: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00056a70: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00056a80: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00056a90: 3937 3237 2220 7461 6269 6e64 6578 3d22  9727" tabindex="
│ │ │ -00056aa0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00056ab0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00056ac0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00056ad0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00056ae0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00056af0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00056b00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00056b10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00056b20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00056b30: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ -00056b40: 3732 3722 3e3c 7461 626c 6520 636c 6173  727"><table clas
│ │ │ -00056b50: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00056b60: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00056b70: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00056b80: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00056b90: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00056ba0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00056bb0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00056bc0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00056bd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00056be0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00056bf0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00056c00: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00056c10: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00056c20: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00056c30: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00056c40: 6e61 6d65 3a20 456e 7375 7265 2069 6e65  name: Ensure ine
│ │ │ -00056c50: 7475 7469 6c73 2d74 656c 6e65 7464 2069  tutils-telnetd i
│ │ │ -00056c60: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00056c70: 6167 653a 0a20 2020 206e 616d 653a 2069  age:.    name: i
│ │ │ -00056c80: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -00056c90: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ -00056ca0: 6e74 0a20 2074 6167 733a 0a20 202d 204e  nt.  tags:.  - N
│ │ │ -00056cb0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00056cc0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00056cd0: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ -00056ce0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00056cf0: 6229 0a20 202d 2064 6973 6162 6c65 5f73  b).  - disable_s
│ │ │ -00056d00: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ -00056d10: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ -00056d20: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00056d30: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00056d40: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00056d50: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00056d60: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ -00056d70: 7464 5f72 656d 6f76 6564 0a3c 2f63 6f64  td_removed.</cod
│ │ │ -00056d80: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00056d90: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00056da0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00056db0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00056dc0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00056dd0: 6d39 3732 3822 2074 6162 696e 6465 783d  m9728" tabindex=
│ │ │ -00056de0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00056df0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00056e00: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00056e10: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00056e20: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00056e30: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -00056e40: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -00056e50: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00056e60: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00056e70: 6170 7365 2220 6964 3d22 6964 6d39 3732  apse" id="idm972
│ │ │ -00056e80: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ -00056e90: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00056ea0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00056eb0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00056ec0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00056ed0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00056ee0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00056ef0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00056f00: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00056f10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00056f20: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00056f30: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00056f40: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00056f50: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00056f60: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00056f70: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ -00056f80: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ -00056f90: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ -00056fa0: 7769 6c6c 2072 656d 6f76 6520 696e 6574  will remove inet
│ │ │ -00056fb0: 7574 696c 732d 7465 6c6e 6574 640a 2309  utils-telnetd.#.
│ │ │ -00056fc0: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ -00056fd0: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ -00056fe0: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ -00056ff0: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ -00057000: 206f 6e20 696e 6574 7574 696c 732d 7465   on inetutils-te
│ │ │ -00057010: 6c6e 6574 642e 2045 7865 6375 7465 2074  lnetd. Execute t
│ │ │ -00057020: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ -00057030: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ -00057040: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ -00057050: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ -00057060: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ -00057070: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -00057080: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ -00057090: 7665 202d 7920 2269 6e65 7475 7469 6c73  ve -y "inetutils
│ │ │ -000570a0: 2d74 656c 6e65 7464 220a 3c2f 636f 6465  -telnetd".</code
│ │ │ +00056870: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +00056880: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00056890: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000568a0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000568b0: 6964 3d22 6964 6d39 3732 3622 3e3c 7461  id="idm9726"><ta
│ │ │ +000568c0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +000568d0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +000568e0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +000568f0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00056900: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00056910: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00056920: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00056930: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00056940: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00056950: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00056960: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00056970: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00056980: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00056990: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +000569a0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +000569b0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +000569c0: 7375 7265 2069 6e65 7475 7469 6c73 2d74  sure inetutils-t
│ │ │ +000569d0: 656c 6e65 7464 2069 7320 7265 6d6f 7665  elnetd is remove
│ │ │ +000569e0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +000569f0: 206e 616d 653a 2069 6e65 7475 7469 6c73   name: inetutils
│ │ │ +00056a00: 2d74 656c 6e65 7464 0a20 2020 2073 7461  -telnetd.    sta
│ │ │ +00056a10: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00056a20: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00056a30: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +00056a40: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +00056a50: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00056a60: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +00056a70: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +00056a80: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +00056a90: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00056aa0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00056ab0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00056ac0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00056ad0: 2070 6163 6b61 6765 5f69 6e65 7475 7469   package_inetuti
│ │ │ +00056ae0: 6c73 2d74 656c 6e65 7464 5f72 656d 6f76  ls-telnetd_remov
│ │ │ +00056af0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00056b00: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00056b10: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00056b20: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00056b30: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00056b40: 6765 743d 2223 6964 6d39 3732 3722 2074  get="#idm9727" t
│ │ │ +00056b50: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00056b60: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00056b70: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00056b80: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00056b90: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00056ba0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00056bb0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +00056bc0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00056bd0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00056be0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00056bf0: 3d22 6964 6d39 3732 3722 3e3c 7461 626c  ="idm9727"><tabl
│ │ │ +00056c00: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00056c10: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00056c20: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00056c30: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00056c40: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00056c50: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00056c60: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00056c70: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00056c80: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00056c90: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00056ca0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00056cb0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00056cc0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00056cd0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00056ce0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00056cf0: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ +00056d00: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ +00056d10: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ +00056d20: 6f76 6520 696e 6574 7574 696c 732d 7465  ove inetutils-te
│ │ │ +00056d30: 6c6e 6574 640a 2309 2020 2066 726f 6d20  lnetd.#.   from 
│ │ │ +00056d40: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ +00056d50: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ +00056d60: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ +00056d70: 7420 6465 7065 6e64 206f 6e20 696e 6574  t depend on inet
│ │ │ +00056d80: 7574 696c 732d 7465 6c6e 6574 642e 2045  utils-telnetd. E
│ │ │ +00056d90: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ +00056da0: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ +00056db0: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ +00056dc0: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ +00056dd0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ +00056de0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +00056df0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +00056e00: 6765 7420 7265 6d6f 7665 202d 7920 2269  get remove -y "i
│ │ │ +00056e10: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ +00056e20: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +00056e30: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00056e40: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00056e50: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00056e60: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00056e70: 6574 3d22 2369 646d 3937 3238 2220 7461  et="#idm9728" ta
│ │ │ +00056e80: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00056e90: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00056ea0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00056eb0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00056ec0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00056ed0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00056ee0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00056ef0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00056f00: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00056f10: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00056f20: 643d 2269 646d 3937 3238 223e 3c74 6162  d="idm9728"><tab
│ │ │ +00056f30: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00056f40: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00056f50: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00056f60: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00056f70: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00056f80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00056f90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00056fa0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00056fb0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00056fc0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00056fd0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00056fe0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00056ff0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00057000: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00057010: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00057020: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +00057030: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ +00057040: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ +00057050: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ +00057060: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ +00057070: 6520 7b20 2769 6e65 7475 7469 6c73 2d74  e { 'inetutils-t
│ │ │ +00057080: 656c 6e65 7464 273a 0a20 2020 2065 6e73  elnetd':.    ens
│ │ │ +00057090: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +000570a0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  000570b0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  000570c0: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  000570d0: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  000570e0: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  000570f0: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  00057100: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  00057110: 656e 745f 7275 6c65 5f70 6163 6b61 6765  ent_rule_package
│ │ │ @@ -22379,134 +22379,134 @@
│ │ │  000576a0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  000576b0: 3937 3335 2220 7461 6269 6e64 6578 3d22  9735" tabindex="
│ │ │  000576c0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  000576d0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  000576e0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  000576f0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00057700: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00057710: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00057720: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00057730: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00057740: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00057750: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ -00057760: 3335 223e 3c74 6162 6c65 2063 6c61 7373  35"><table class
│ │ │ -00057770: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00057780: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00057790: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -000577a0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -000577b0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -000577c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000577d0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -000577e0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -000577f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00057800: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00057810: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00057820: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00057830: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00057840: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00057850: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00057860: 6c75 6465 2072 656d 6f76 655f 6e69 730a  lude remove_nis.
│ │ │ -00057870: 0a63 6c61 7373 2072 656d 6f76 655f 6e69  .class remove_ni
│ │ │ -00057880: 7320 7b0a 2020 7061 636b 6167 6520 7b20  s {.  package { 
│ │ │ -00057890: 276e 6973 273a 0a20 2020 2065 6e73 7572  'nis':.    ensur
│ │ │ -000578a0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ -000578b0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -000578c0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000578d0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000578e0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000578f0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00057900: 612d 7461 7267 6574 3d22 2369 646d 3937  a-target="#idm97
│ │ │ -00057910: 3336 2220 7461 6269 6e64 6578 3d22 3022  36" tabindex="0"
│ │ │ -00057920: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00057930: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00057940: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00057950: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00057960: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00057970: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -00057980: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00057990: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -000579a0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -000579b0: 6170 7365 2220 6964 3d22 6964 6d39 3733  apse" id="idm973
│ │ │ -000579c0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -000579d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -000579e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -000579f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00057a00: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00057a10: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00057a20: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00057a30: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00057a40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00057a50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00057a60: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00057a70: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00057a80: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00057a90: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00057aa0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00057ab0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -00057ac0: 6d65 3a20 456e 7375 7265 206e 6973 2069  me: Ensure nis i
│ │ │ -00057ad0: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00057ae0: 6167 653a 0a20 2020 206e 616d 653a 206e  age:.    name: n
│ │ │ -00057af0: 6973 0a20 2020 2073 7461 7465 3a20 6162  is.    state: ab
│ │ │ -00057b00: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00057b10: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -00057b20: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00057b30: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00057b40: 7275 7074 696f 6e0a 2020 2d20 6c6f 775f  ruption.  - low_
│ │ │ -00057b50: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00057b60: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00057b70: 2d20 7061 636b 6167 655f 6e69 735f 7265  - package_nis_re
│ │ │ -00057b80: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ -00057b90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00057ba0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00057bb0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00057bc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00057bd0: 7461 7267 6574 3d22 2369 646d 3937 3337  target="#idm9737
│ │ │ -00057be0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00057bf0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00057c00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00057c10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00057c20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00057c30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00057c40: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -00057c50: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00057c60: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00057c70: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00057c80: 2069 643d 2269 646d 3937 3337 223e 3c74   id="idm9737"><t
│ │ │ -00057c90: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00057ca0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00057cb0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00057cc0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00057cd0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00057ce0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00057cf0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00057d00: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00057d10: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00057d20: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00057d30: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00057d40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00057d50: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00057d60: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00057d70: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00057d80: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ -00057d90: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ -00057da0: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ -00057db0: 7265 6d6f 7665 206e 6973 0a23 0920 2020  remove nis.#.   
│ │ │ -00057dc0: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ -00057dd0: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ -00057de0: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ -00057df0: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ -00057e00: 206e 6973 2e20 4578 6563 7574 6520 7468   nis. Execute th
│ │ │ -00057e10: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ -00057e20: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ -00057e30: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ -00057e40: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ -00057e50: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ -00057e60: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -00057e70: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ -00057e80: 6520 2d79 2022 6e69 7322 0a3c 2f63 6f64  e -y "nis".</cod
│ │ │ +00057710: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00057720: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00057730: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00057740: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00057750: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ +00057760: 3733 3522 3e3c 7461 626c 6520 636c 6173  735"><table clas
│ │ │ +00057770: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00057780: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00057790: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +000577a0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +000577b0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +000577c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000577d0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +000577e0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +000577f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00057800: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00057810: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00057820: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00057830: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00057840: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00057850: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00057860: 6e61 6d65 3a20 456e 7375 7265 206e 6973  name: Ensure nis
│ │ │ +00057870: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +00057880: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +00057890: 206e 6973 0a20 2020 2073 7461 7465 3a20   nis.    state: 
│ │ │ +000578a0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +000578b0: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +000578c0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +000578d0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000578e0: 6973 7275 7074 696f 6e0a 2020 2d20 6c6f  isruption.  - lo
│ │ │ +000578f0: 775f 7365 7665 7269 7479 0a20 202d 206e  w_severity.  - n
│ │ │ +00057900: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00057910: 2020 2d20 7061 636b 6167 655f 6e69 735f    - package_nis_
│ │ │ +00057920: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00057930: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00057940: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00057950: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00057960: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00057970: 612d 7461 7267 6574 3d22 2369 646d 3937  a-target="#idm97
│ │ │ +00057980: 3336 2220 7461 6269 6e64 6578 3d22 3022  36" tabindex="0"
│ │ │ +00057990: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000579a0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000579b0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000579c0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000579d0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +000579e0: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +000579f0: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +00057a00: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00057a10: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00057a20: 6522 2069 643d 2269 646d 3937 3336 223e  e" id="idm9736">
│ │ │ +00057a30: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00057a40: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00057a50: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00057a60: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00057a70: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00057a80: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00057a90: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00057aa0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00057ab0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00057ac0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00057ad0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00057ae0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00057af0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00057b00: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00057b10: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00057b20: 7265 3e3c 636f 6465 3e0a 2320 4341 5554  re><code>.# CAUT
│ │ │ +00057b30: 494f 4e3a 2054 6869 7320 7265 6d65 6469  ION: This remedi
│ │ │ +00057b40: 6174 696f 6e20 7363 7269 7074 2077 696c  ation script wil
│ │ │ +00057b50: 6c20 7265 6d6f 7665 206e 6973 0a23 0920  l remove nis.#. 
│ │ │ +00057b60: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ +00057b70: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ +00057b80: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ +00057b90: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ +00057ba0: 6f6e 206e 6973 2e20 4578 6563 7574 6520  on nis. Execute 
│ │ │ +00057bb0: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ +00057bc0: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ +00057bd0: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ +00057be0: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ +00057bf0: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ +00057c00: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +00057c10: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ +00057c20: 6f76 6520 2d79 2022 6e69 7322 0a3c 2f63  ove -y "nis".</c
│ │ │ +00057c30: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00057c40: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00057c50: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00057c60: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00057c70: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00057c80: 6964 6d39 3733 3722 2074 6162 696e 6465  idm9737" tabinde
│ │ │ +00057c90: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00057ca0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00057cb0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00057cc0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00057cd0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00057ce0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +00057cf0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00057d00: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00057d10: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00057d20: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00057d30: 6d39 3733 3722 3e3c 7461 626c 6520 636c  m9737"><table cl
│ │ │ +00057d40: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00057d50: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00057d60: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00057d70: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00057d80: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00057d90: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00057da0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00057db0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00057dc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00057dd0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00057de0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00057df0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00057e00: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00057e10: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00057e20: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00057e30: 696e 636c 7564 6520 7265 6d6f 7665 5f6e  include remove_n
│ │ │ +00057e40: 6973 0a0a 636c 6173 7320 7265 6d6f 7665  is..class remove
│ │ │ +00057e50: 5f6e 6973 207b 0a20 2070 6163 6b61 6765  _nis {.  package
│ │ │ +00057e60: 207b 2027 6e69 7327 3a0a 2020 2020 656e   { 'nis':.    en
│ │ │ +00057e70: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +00057e80: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  00057e90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  00057ea0: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  00057eb0: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  00057ec0: 7464 3e3c 2f74 723e 3c74 7220 6461 7461  td></tr><tr data
│ │ │  00057ed0: 2d74 742d 6964 3d22 7863 6364 665f 6f72  -tt-id="xccdf_or
│ │ │  00057ee0: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  00057ef0: 7465 6e74 5f72 756c 655f 7061 636b 6167  tent_rule_packag
│ │ │ @@ -22718,143 +22718,143 @@
│ │ │  00058bd0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00058be0: 3938 3435 2220 7461 6269 6e64 6578 3d22  9845" tabindex="
│ │ │  00058bf0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00058c00: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00058c10: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00058c20: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00058c30: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00058c40: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00058c50: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00058c60: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00058c70: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00058c80: 6c61 7073 6522 2069 643d 2269 646d 3938  lapse" id="idm98
│ │ │ -00058c90: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ -00058ca0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00058cb0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00058cc0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00058cd0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00058ce0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00058cf0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00058d00: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00058d10: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00058d20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00058d30: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00058d40: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00058d50: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00058d60: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00058d70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00058d80: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00058d90: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ -00058da0: 6574 642d 7373 6c0a 0a63 6c61 7373 2072  etd-ssl..class r
│ │ │ -00058db0: 656d 6f76 655f 7465 6c6e 6574 642d 7373  emove_telnetd-ss
│ │ │ -00058dc0: 6c20 7b0a 2020 7061 636b 6167 6520 7b20  l {.  package { 
│ │ │ -00058dd0: 2774 656c 6e65 7464 2d73 736c 273a 0a20  'telnetd-ssl':. 
│ │ │ -00058de0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00058df0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00058e00: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00058e10: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00058e20: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00058e30: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00058e40: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00058e50: 3d22 2369 646d 3938 3436 2220 7461 6269  ="#idm9846" tabi
│ │ │ -00058e60: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00058e70: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00058e80: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00058e90: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00058ea0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00058eb0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00058ec0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00058ed0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00058ee0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00058ef0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00058f00: 3d22 6964 6d39 3834 3622 3e3c 7461 626c  ="idm9846"><tabl
│ │ │ -00058f10: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00058f20: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00058f30: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00058f40: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00058f50: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00058f60: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00058f70: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00058f80: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00058f90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00058fa0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00058fb0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00058fc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00058fd0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00058fe0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00058ff0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00059000: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -00059010: 7265 2074 656c 6e65 7464 2d73 736c 2069  re telnetd-ssl i
│ │ │ -00059020: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00059030: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ -00059040: 656c 6e65 7464 2d73 736c 0a20 2020 2073  elnetd-ssl.    s
│ │ │ -00059050: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -00059060: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00059070: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00059080: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00059090: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -000590a0: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ -000590b0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -000590c0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -000590d0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -000590e0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -000590f0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -00059100: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00059110: 202d 2070 6163 6b61 6765 5f74 656c 6e65   - package_telne
│ │ │ -00059120: 7464 2d73 736c 5f72 656d 6f76 6564 0a3c  td-ssl_removed.<
│ │ │ -00059130: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00059140: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00059150: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00059160: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00059170: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00059180: 2223 6964 6d39 3834 3722 2074 6162 696e  "#idm9847" tabin
│ │ │ -00059190: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000591a0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000591b0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000591c0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -000591d0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -000591e0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -000591f0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -00059200: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00059210: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00059220: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00059230: 6d39 3834 3722 3e3c 7461 626c 6520 636c  m9847"><table cl
│ │ │ -00059240: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00059250: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00059260: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00059270: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00059280: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00059290: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -000592a0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000592b0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000592c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000592d0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000592e0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000592f0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00059300: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00059310: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00059320: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00059330: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -00059340: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -00059350: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -00059360: 7465 6c6e 6574 642d 7373 6c0a 2309 2020  telnetd-ssl.#.  
│ │ │ -00059370: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -00059380: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -00059390: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -000593a0: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -000593b0: 6e20 7465 6c6e 6574 642d 7373 6c2e 2045  n telnetd-ssl. E
│ │ │ -000593c0: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -000593d0: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -000593e0: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -000593f0: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -00059400: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -00059410: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -00059420: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -00059430: 6765 7420 7265 6d6f 7665 202d 7920 2274  get remove -y "t
│ │ │ -00059440: 656c 6e65 7464 2d73 736c 220a 3c2f 636f  elnetd-ssl".</co
│ │ │ +00058c40: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00058c50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00058c60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00058c70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00058c80: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ +00058c90: 3834 3522 3e3c 7461 626c 6520 636c 6173  845"><table clas
│ │ │ +00058ca0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00058cb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00058cc0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00058cd0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00058ce0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00058cf0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00058d00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00058d10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00058d20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00058d30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00058d40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00058d50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00058d60: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00058d70: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00058d80: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00058d90: 6e61 6d65 3a20 456e 7375 7265 2074 656c  name: Ensure tel
│ │ │ +00058da0: 6e65 7464 2d73 736c 2069 7320 7265 6d6f  netd-ssl is remo
│ │ │ +00058db0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +00058dc0: 2020 206e 616d 653a 2074 656c 6e65 7464     name: telnetd
│ │ │ +00058dd0: 2d73 736c 0a20 2020 2073 7461 7465 3a20  -ssl.    state: 
│ │ │ +00058de0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +00058df0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00058e00: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +00058e10: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +00058e20: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00058e30: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ +00058e40: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00058e50: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ +00058e60: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00058e70: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00058e80: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +00058e90: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00058ea0: 6b61 6765 5f74 656c 6e65 7464 2d73 736c  kage_telnetd-ssl
│ │ │ +00058eb0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00058ec0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00058ed0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00058ee0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00058ef0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00058f00: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +00058f10: 3834 3622 2074 6162 696e 6465 783d 2230  846" tabindex="0
│ │ │ +00058f20: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00058f30: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00058f40: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00058f50: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00058f60: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00058f70: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +00058f80: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +00058f90: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00058fa0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00058fb0: 7365 2220 6964 3d22 6964 6d39 3834 3622  se" id="idm9846"
│ │ │ +00058fc0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00058fd0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00058fe0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00058ff0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00059000: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00059010: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00059020: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00059030: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00059040: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00059050: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00059060: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00059070: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00059080: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00059090: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +000590a0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +000590b0: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ +000590c0: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ +000590d0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ +000590e0: 6c6c 2072 656d 6f76 6520 7465 6c6e 6574  ll remove telnet
│ │ │ +000590f0: 642d 7373 6c0a 2309 2020 2066 726f 6d20  d-ssl.#.   from 
│ │ │ +00059100: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ +00059110: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ +00059120: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ +00059130: 7420 6465 7065 6e64 206f 6e20 7465 6c6e  t depend on teln
│ │ │ +00059140: 6574 642d 7373 6c2e 2045 7865 6375 7465  etd-ssl. Execute
│ │ │ +00059150: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ +00059160: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ +00059170: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ +00059180: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ +00059190: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ +000591a0: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +000591b0: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ +000591c0: 6d6f 7665 202d 7920 2274 656c 6e65 7464  move -y "telnetd
│ │ │ +000591d0: 2d73 736c 220a 3c2f 636f 6465 3e3c 2f70  -ssl".</code></p
│ │ │ +000591e0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +000591f0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00059200: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00059210: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00059220: 7461 7267 6574 3d22 2369 646d 3938 3437  target="#idm9847
│ │ │ +00059230: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00059240: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00059250: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00059260: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00059270: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00059280: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00059290: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +000592a0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000592b0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000592c0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000592d0: 6522 2069 643d 2269 646d 3938 3437 223e  e" id="idm9847">
│ │ │ +000592e0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000592f0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00059300: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00059310: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00059320: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00059330: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00059340: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00059350: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00059360: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00059370: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00059380: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00059390: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +000593a0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +000593b0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +000593c0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000593d0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +000593e0: 2072 656d 6f76 655f 7465 6c6e 6574 642d   remove_telnetd-
│ │ │ +000593f0: 7373 6c0a 0a63 6c61 7373 2072 656d 6f76  ssl..class remov
│ │ │ +00059400: 655f 7465 6c6e 6574 642d 7373 6c20 7b0a  e_telnetd-ssl {.
│ │ │ +00059410: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ +00059420: 6e65 7464 2d73 736c 273a 0a20 2020 2065  netd-ssl':.    e
│ │ │ +00059430: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +00059440: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  00059450: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00059460: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00059470: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00059480: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00059490: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  000594a0: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  000594b0: 6e74 656e 745f 7275 6c65 5f70 6163 6b61  ntent_rule_packa
│ │ │ @@ -23066,140 +23066,140 @@
│ │ │  0005a190: 6765 743d 2223 6964 6d39 3934 3522 2074  get="#idm9945" t
│ │ │  0005a1a0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0005a1b0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0005a1c0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0005a1d0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0005a1e0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0005a1f0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0005a200: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -0005a210: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0005a220: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0005a230: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0005a240: 6964 3d22 6964 6d39 3934 3522 3e3c 7461  id="idm9945"><ta
│ │ │ -0005a250: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0005a260: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0005a270: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0005a280: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0005a290: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0005a2a0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0005a2b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0005a2c0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0005a2d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0005a2e0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0005a2f0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0005a300: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0005a310: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0005a320: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -0005a330: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0005a340: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -0005a350: 6d6f 7665 5f74 656c 6e65 7464 0a0a 636c  move_telnetd..cl
│ │ │ -0005a360: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ -0005a370: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ -0005a380: 2027 7465 6c6e 6574 6427 3a0a 2020 2020   'telnetd':.    
│ │ │ -0005a390: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -0005a3a0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -0005a3b0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0005a3c0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0005a3d0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0005a3e0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0005a3f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0005a400: 6964 6d39 3934 3622 2074 6162 696e 6465  idm9946" tabinde
│ │ │ -0005a410: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0005a420: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0005a430: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0005a440: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0005a450: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0005a460: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0005a470: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0005a480: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0005a490: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0005a4a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0005a4b0: 646d 3939 3436 223e 3c74 6162 6c65 2063  dm9946"><table c
│ │ │ -0005a4c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0005a4d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0005a4e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0005a4f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0005a500: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0005a510: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0005a520: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0005a530: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0005a540: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0005a550: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0005a560: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0005a570: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0005a580: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0005a590: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0005a5a0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0005a5b0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -0005a5c0: 7465 6c6e 6574 6420 6973 2072 656d 6f76  telnetd is remov
│ │ │ -0005a5d0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -0005a5e0: 2020 6e61 6d65 3a20 7465 6c6e 6574 640a    name: telnetd.
│ │ │ -0005a5f0: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -0005a600: 740a 2020 7461 6773 3a0a 2020 2d20 4e49  t.  tags:.  - NI
│ │ │ -0005a610: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -0005a620: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0005a630: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ -0005a640: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ -0005a650: 290a 2020 2d20 6469 7361 626c 655f 7374  ).  - disable_st
│ │ │ -0005a660: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ -0005a670: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ -0005a680: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0005a690: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0005a6a0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0005a6b0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0005a6c0: 7465 6c6e 6574 645f 7265 6d6f 7665 640a  telnetd_removed.
│ │ │ -0005a6d0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0005a6e0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0005a6f0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0005a700: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0005a710: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0005a720: 3d22 2369 646d 3939 3437 2220 7461 6269  ="#idm9947" tabi
│ │ │ -0005a730: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0005a740: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0005a750: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0005a760: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0005a770: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0005a780: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -0005a790: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -0005a7a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0005a7b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0005a7c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0005a7d0: 646d 3939 3437 223e 3c74 6162 6c65 2063  dm9947"><table c
│ │ │ -0005a7e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0005a7f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0005a800: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0005a810: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0005a820: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0005a830: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0005a840: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0005a850: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0005a860: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0005a870: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0005a880: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0005a890: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0005a8a0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0005a8b0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0005a8c0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0005a8d0: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -0005a8e0: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -0005a8f0: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -0005a900: 2074 656c 6e65 7464 0a23 0920 2020 6672   telnetd.#.   fr
│ │ │ -0005a910: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ -0005a920: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ -0005a930: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ -0005a940: 7468 6174 2064 6570 656e 6420 6f6e 2074  that depend on t
│ │ │ -0005a950: 656c 6e65 7464 2e20 4578 6563 7574 6520  elnetd. Execute 
│ │ │ -0005a960: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ -0005a970: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ -0005a980: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ -0005a990: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ -0005a9a0: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ -0005a9b0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -0005a9c0: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ -0005a9d0: 6f76 6520 2d79 2022 7465 6c6e 6574 6422  ove -y "telnetd"
│ │ │ +0005a200: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0005a210: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0005a220: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0005a230: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0005a240: 2069 643d 2269 646d 3939 3435 223e 3c74   id="idm9945"><t
│ │ │ +0005a250: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0005a260: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0005a270: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0005a280: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0005a290: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0005a2a0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0005a2b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0005a2c0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0005a2d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0005a2e0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0005a2f0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0005a300: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0005a310: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0005a320: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0005a330: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0005a340: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +0005a350: 6e73 7572 6520 7465 6c6e 6574 6420 6973  nsure telnetd is
│ │ │ +0005a360: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +0005a370: 6765 3a0a 2020 2020 6e61 6d65 3a20 7465  ge:.    name: te
│ │ │ +0005a380: 6c6e 6574 640a 2020 2020 7374 6174 653a  lnetd.    state:
│ │ │ +0005a390: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +0005a3a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0005a3b0: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +0005a3c0: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ +0005a3d0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0005a3e0: 434d 2d37 2862 290a 2020 2d20 6469 7361  CM-7(b).  - disa
│ │ │ +0005a3f0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0005a400: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ +0005a410: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +0005a420: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +0005a430: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ +0005a440: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +0005a450: 636b 6167 655f 7465 6c6e 6574 645f 7265  ckage_telnetd_re
│ │ │ +0005a460: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +0005a470: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0005a480: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0005a490: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0005a4a0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0005a4b0: 7461 7267 6574 3d22 2369 646d 3939 3436  target="#idm9946
│ │ │ +0005a4c0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0005a4d0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0005a4e0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0005a4f0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0005a500: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0005a510: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0005a520: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +0005a530: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0005a540: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0005a550: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0005a560: 2069 643d 2269 646d 3939 3436 223e 3c74   id="idm9946"><t
│ │ │ +0005a570: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0005a580: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0005a590: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0005a5a0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0005a5b0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0005a5c0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0005a5d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0005a5e0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0005a5f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0005a600: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0005a610: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0005a620: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0005a630: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0005a640: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0005a650: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0005a660: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ +0005a670: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +0005a680: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +0005a690: 7265 6d6f 7665 2074 656c 6e65 7464 0a23  remove telnetd.#
│ │ │ +0005a6a0: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +0005a6b0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +0005a6c0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +0005a6d0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +0005a6e0: 6420 6f6e 2074 656c 6e65 7464 2e20 4578  d on telnetd. Ex
│ │ │ +0005a6f0: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ +0005a700: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ +0005a710: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ +0005a720: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ +0005a730: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ +0005a740: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +0005a750: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +0005a760: 6574 2072 656d 6f76 6520 2d79 2022 7465  et remove -y "te
│ │ │ +0005a770: 6c6e 6574 6422 0a3c 2f63 6f64 653e 3c2f  lnetd".</code></
│ │ │ +0005a780: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0005a790: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0005a7a0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0005a7b0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0005a7c0: 2d74 6172 6765 743d 2223 6964 6d39 3934  -target="#idm994
│ │ │ +0005a7d0: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ +0005a7e0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +0005a7f0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +0005a800: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +0005a810: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +0005a820: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +0005a830: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +0005a840: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0005a850: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0005a860: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0005a870: 7365 2220 6964 3d22 6964 6d39 3934 3722  se" id="idm9947"
│ │ │ +0005a880: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0005a890: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0005a8a0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0005a8b0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0005a8c0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0005a8d0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0005a8e0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0005a8f0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0005a900: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0005a910: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0005a920: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0005a930: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0005a940: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0005a950: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0005a960: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0005a970: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +0005a980: 6520 7265 6d6f 7665 5f74 656c 6e65 7464  e remove_telnetd
│ │ │ +0005a990: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ +0005a9a0: 656c 6e65 7464 207b 0a20 2070 6163 6b61  elnetd {.  packa
│ │ │ +0005a9b0: 6765 207b 2027 7465 6c6e 6574 6427 3a0a  ge { 'telnetd':.
│ │ │ +0005a9c0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +0005a9d0: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  0005a9e0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  0005a9f0: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  0005aa00: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  0005aa10: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c2f  ble></td></tr></
│ │ │  0005aa20: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  0005aa30: 6469 763e 3c64 6976 2069 643d 2272 6561  div><div id="rea
│ │ │  0005aa40: 722d 6d61 7474 6572 223e 3c64 6976 2063  r-matter"><div c
│ │ │ ├── html2text {}
│ │ │ │ @@ -276,31 +276,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -337,14 +320,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ssyysslloogg--nngg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The syslog-ng service (in replacement of rsyslog) provides syslog-style logging
│ │ │ │  by default on Debian. The syslog-ng service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable syslog-ng.service
│ │ │ │  Rationale:  The syslog-ng service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │ @@ -360,31 +360,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -420,14 +403,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -440,31 +440,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -501,14 +484,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 11. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -525,31 +525,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -585,14 +568,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 2 groups and 12 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -1566,26 +1566,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -1610,33 +1598,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -1658,14 +1646,26 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -1683,26 +1683,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -1727,14 +1715,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -1753,26 +1753,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -1797,11 +1785,23 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-anssi_np_nt28_restrictive.html
│ │ │ @@ -20663,180 +20663,180 @@
│ │ │  00050b60: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00050b70: 2223 6964 6d35 3337 3622 2074 6162 696e  "#idm5376" tabin
│ │ │  00050b80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00050b90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00050ba0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00050bb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00050bc0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00050bd0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -00050be0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -00050bf0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00050c00: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00050c10: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00050c20: 6c61 7073 6522 2069 643d 2269 646d 3533  lapse" id="idm53
│ │ │ -00050c30: 3736 223e 3c70 7265 3e3c 636f 6465 3e0a  76"><pre><code>.
│ │ │ -00050c40: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ -00050c50: 6520 3d20 2273 7973 6c6f 672d 6e67 220a  e = "syslog-ng".
│ │ │ -00050c60: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ -00050c70: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00050c80: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00050c90: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00050ca0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00050cb0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00050cc0: 2369 646d 3533 3737 2220 7461 6269 6e64  #idm5377" tabind
│ │ │ -00050cd0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00050ce0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00050cf0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00050d00: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00050d10: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00050d20: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -00050d30: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00050d40: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00050d50: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00050d60: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00050d70: 646d 3533 3737 223e 3c74 6162 6c65 2063  dm5377"><table c
│ │ │ -00050d80: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00050d90: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00050da0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00050db0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00050dc0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00050dd0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00050de0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00050df0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00050e00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00050e10: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00050e20: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00050e30: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00050e40: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00050e50: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00050e60: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00050e70: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ -00050e80: 7379 736c 6f67 2d6e 670a 0a63 6c61 7373  syslog-ng..class
│ │ │ -00050e90: 2069 6e73 7461 6c6c 5f73 7973 6c6f 672d   install_syslog-
│ │ │ -00050ea0: 6e67 207b 0a20 2070 6163 6b61 6765 207b  ng {.  package {
│ │ │ -00050eb0: 2027 7379 736c 6f67 2d6e 6727 3a0a 2020   'syslog-ng':.  
│ │ │ -00050ec0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00050ed0: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -00050ee0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00050ef0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00050f00: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00050f10: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00050f20: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00050f30: 6574 3d22 2369 646d 3533 3738 2220 7461  et="#idm5378" ta
│ │ │ -00050f40: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00050f50: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00050f60: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00050f70: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00050f80: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00050f90: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00050fa0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00050fb0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00050fc0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00050fd0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00050fe0: 6964 3d22 6964 6d35 3337 3822 3e3c 7461  id="idm5378"><ta
│ │ │ -00050ff0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00051000: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00051010: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00051020: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00051030: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00051040: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00051050: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00051060: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00051070: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00051080: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00051090: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000510a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000510b0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -000510c0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -000510d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -000510e0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -000510f0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00051100: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00051110: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00051120: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -00051130: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00051140: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -00051150: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00051160: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00051170: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00051180: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00051190: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -000511a0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -000511b0: 7061 636b 6167 655f 7379 736c 6f67 6e67  package_syslogng
│ │ │ -000511c0: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -000511d0: 6d65 3a20 456e 7375 7265 2073 7973 6c6f  me: Ensure syslo
│ │ │ -000511e0: 672d 6e67 2069 7320 696e 7374 616c 6c65  g-ng is installe
│ │ │ -000511f0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00051200: 206e 616d 653a 2073 7973 6c6f 672d 6e67   name: syslog-ng
│ │ │ -00051210: 0a20 2020 2073 7461 7465 3a20 7072 6573  .    state: pres
│ │ │ -00051220: 656e 740a 2020 7768 656e 3a20 2722 6c69  ent.  when: '"li
│ │ │ -00051230: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -00051240: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -00051250: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -00051260: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00051270: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -00051280: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00051290: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -000512a0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -000512b0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -000512c0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -000512d0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -000512e0: 6167 655f 7379 736c 6f67 6e67 5f69 6e73  age_syslogng_ins
│ │ │ -000512f0: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ -00051300: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00051310: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00051320: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00051330: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00051340: 2d74 6172 6765 743d 2223 6964 6d35 3337  -target="#idm537
│ │ │ -00051350: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ -00051360: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00051370: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00051380: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00051390: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000513a0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000513b0: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ -000513c0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000513d0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -000513e0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -000513f0: 2220 6964 3d22 6964 6d35 3337 3922 3e3c  " id="idm5379"><
│ │ │ -00051400: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00051410: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00051420: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00051430: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00051440: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00051450: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00051460: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00051470: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00051480: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00051490: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000514a0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000514b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000514c0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000514d0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000514e0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000514f0: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ -00051500: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ -00051510: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ -00051520: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ -00051530: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ -00051540: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ -00051550: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ -00051560: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ -00051570: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ -00051580: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ -00051590: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ -000515a0: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ -000515b0: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ -000515c0: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ -000515d0: 2273 7973 6c6f 672d 6e67 220a 0a65 6c73  "syslog-ng"..els
│ │ │ -000515e0: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ -000515f0: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ -00051600: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ -00051610: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ -00051620: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +00050bd0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00050be0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00050bf0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00050c00: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00050c10: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00050c20: 2269 646d 3533 3736 223e 3c74 6162 6c65  "idm5376"><table
│ │ │ +00050c30: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00050c40: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00050c50: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00050c60: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00050c70: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00050c80: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00050c90: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00050ca0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00050cb0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00050cc0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00050cd0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00050ce0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00050cf0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00050d00: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00050d10: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00050d20: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +00050d30: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00050d40: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +00050d50: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +00050d60: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00050d70: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00050d80: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +00050d90: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +00050da0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00050db0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00050dc0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +00050dd0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +00050de0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00050df0: 6b61 6765 5f73 7973 6c6f 676e 675f 696e  kage_syslogng_in
│ │ │ +00050e00: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +00050e10: 2045 6e73 7572 6520 7379 736c 6f67 2d6e   Ensure syslog-n
│ │ │ +00050e20: 6720 6973 2069 6e73 7461 6c6c 6564 0a20  g is installed. 
│ │ │ +00050e30: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00050e40: 6d65 3a20 7379 736c 6f67 2d6e 670a 2020  me: syslog-ng.  
│ │ │ +00050e50: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +00050e60: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +00050e70: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +00050e80: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +00050e90: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ +00050ea0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00050eb0: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00050ec0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00050ed0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00050ee0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00050ef0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00050f00: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00050f10: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00050f20: 5f73 7973 6c6f 676e 675f 696e 7374 616c  _syslogng_instal
│ │ │ +00050f30: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00050f40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00050f50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00050f60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00050f70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00050f80: 7267 6574 3d22 2369 646d 3533 3737 2220  rget="#idm5377" 
│ │ │ +00050f90: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00050fa0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00050fb0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00050fc0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00050fd0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00050fe0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00050ff0: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +00051000: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00051010: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00051020: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00051030: 643d 2269 646d 3533 3737 223e 3c74 6162  d="idm5377"><tab
│ │ │ +00051040: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00051050: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00051060: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00051070: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00051080: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00051090: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000510a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000510b0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000510c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000510d0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000510e0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000510f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00051100: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00051110: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00051120: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00051130: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ +00051140: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ +00051150: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ +00051160: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ +00051170: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ +00051180: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ +00051190: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ +000511a0: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ +000511b0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ +000511c0: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ +000511d0: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ +000511e0: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +000511f0: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +00051200: 7420 696e 7374 616c 6c20 2d79 2022 7379  t install -y "sy
│ │ │ +00051210: 736c 6f67 2d6e 6722 0a0a 656c 7365 0a20  slog-ng"..else. 
│ │ │ +00051220: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ +00051230: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ +00051240: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ +00051250: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ +00051260: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +00051270: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00051280: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00051290: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000512a0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000512b0: 612d 7461 7267 6574 3d22 2369 646d 3533  a-target="#idm53
│ │ │ +000512c0: 3738 2220 7461 6269 6e64 6578 3d22 3022  78" tabindex="0"
│ │ │ +000512d0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000512e0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000512f0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00051300: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00051310: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00051320: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +00051330: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +00051340: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00051350: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00051360: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00051370: 6964 3d22 6964 6d35 3337 3822 3e3c 7072  id="idm5378"><pr
│ │ │ +00051380: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ +00051390: 6765 735d 5d0a 6e61 6d65 203d 2022 7379  ges]].name = "sy
│ │ │ +000513a0: 736c 6f67 2d6e 6722 0a76 6572 7369 6f6e  slog-ng".version
│ │ │ +000513b0: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ +000513c0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000513d0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000513e0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +000513f0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00051400: 2d74 6172 6765 743d 2223 6964 6d35 3337  -target="#idm537
│ │ │ +00051410: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ +00051420: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00051430: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00051440: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00051450: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00051460: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00051470: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00051480: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00051490: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000514a0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000514b0: 7365 2220 6964 3d22 6964 6d35 3337 3922  se" id="idm5379"
│ │ │ +000514c0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000514d0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000514e0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000514f0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00051500: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00051510: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00051520: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00051530: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00051540: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00051550: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00051560: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00051570: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00051580: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00051590: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +000515a0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000515b0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +000515c0: 2069 6e73 7461 6c6c 5f73 7973 6c6f 672d   install_syslog-
│ │ │ +000515d0: 6e67 0a0a 636c 6173 7320 696e 7374 616c  ng..class instal
│ │ │ +000515e0: 6c5f 7379 736c 6f67 2d6e 6720 7b0a 2020  l_syslog-ng {.  
│ │ │ +000515f0: 7061 636b 6167 6520 7b20 2773 7973 6c6f  package { 'syslo
│ │ │ +00051600: 672d 6e67 273a 0a20 2020 2065 6e73 7572  g-ng':.    ensur
│ │ │ +00051610: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ +00051620: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  00051630: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  00051640: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  00051650: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  00051660: 7464 3e3c 2f74 723e 3c74 7220 6461 7461  td></tr><tr data
│ │ │  00051670: 2d74 742d 6964 3d22 7863 6364 665f 6f72  -tt-id="xccdf_or
│ │ │  00051680: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  00051690: 7465 6e74 5f72 756c 655f 7365 7276 6963  tent_rule_servic
│ │ │ @@ -21051,151 +21051,151 @@
│ │ │  000523a0: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │  000523b0: 3436 3322 2074 6162 696e 6465 783d 2230  463" tabindex="0
│ │ │  000523c0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  000523d0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  000523e0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  000523f0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00052400: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00052410: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00052420: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00052430: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00052440: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00052450: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00052460: 2069 643d 2269 646d 3534 3633 223e 3c70   id="idm5463"><p
│ │ │ -00052470: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ -00052480: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ -00052490: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ -000524a0: 7379 736c 6f67 2d6e 6722 5d0a 3c2f 636f  syslog-ng"].</co
│ │ │ -000524b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000524c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000524d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000524e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000524f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00052500: 646d 3534 3634 2220 7461 6269 6e64 6578  dm5464" tabindex
│ │ │ -00052510: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00052520: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00052530: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00052540: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00052550: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00052560: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00052570: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00052580: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00052590: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000525a0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000525b0: 3534 3634 223e 3c74 6162 6c65 2063 6c61  5464"><table cla
│ │ │ -000525c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000525d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000525e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000525f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00052600: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00052610: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00052620: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00052630: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00052640: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00052650: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00052660: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00052670: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00052680: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00052690: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000526a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000526b0: 636c 7564 6520 656e 6162 6c65 5f73 7973  clude enable_sys
│ │ │ -000526c0: 6c6f 672d 6e67 0a0a 636c 6173 7320 656e  log-ng..class en
│ │ │ -000526d0: 6162 6c65 5f73 7973 6c6f 672d 6e67 207b  able_syslog-ng {
│ │ │ -000526e0: 0a20 2073 6572 7669 6365 207b 2773 7973  .  service {'sys
│ │ │ -000526f0: 6c6f 672d 6e67 273a 0a20 2020 2065 6e61  log-ng':.    ena
│ │ │ -00052700: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ -00052710: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00052720: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ -00052730: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00052740: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00052750: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00052760: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00052770: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00052780: 6574 3d22 2369 646d 3534 3635 2220 7461  et="#idm5465" ta
│ │ │ -00052790: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -000527a0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -000527b0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -000527c0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -000527d0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -000527e0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000527f0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00052800: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00052810: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00052820: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00052830: 6964 3d22 6964 6d35 3436 3522 3e3c 7461  id="idm5465"><ta
│ │ │ -00052840: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00052850: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00052860: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00052870: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00052880: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00052890: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000528a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000528b0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000528c0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000528d0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000528e0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000528f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00052900: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00052910: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00052920: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00052930: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -00052940: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00052950: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00052960: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00052970: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -00052980: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00052990: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ -000529a0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -000529b0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -000529c0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -000529d0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -000529e0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -000529f0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00052a00: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00052a10: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -00052a20: 7379 736c 6f67 6e67 5f65 6e61 626c 6564  syslogng_enabled
│ │ │ -00052a30: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ -00052a40: 2073 7973 6c6f 672d 6e67 2053 6572 7669   syslog-ng Servi
│ │ │ -00052a50: 6365 202d 2045 6e61 626c 6520 7365 7276  ce - Enable serv
│ │ │ -00052a60: 6963 6520 7379 736c 6f67 2d6e 670a 2020  ice syslog-ng.  
│ │ │ -00052a70: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ -00052a80: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -00052a90: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ -00052aa0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -00052ab0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -00052ac0: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ -00052ad0: 626c 6520 7379 736c 6f67 2d6e 6720 5365  ble syslog-ng Se
│ │ │ -00052ae0: 7276 6963 6520 2d20 456e 6162 6c65 2053  rvice - Enable S
│ │ │ -00052af0: 6572 7669 6365 2073 7973 6c6f 672d 6e67  ervice syslog-ng
│ │ │ -00052b00: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ -00052b10: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ -00052b20: 2020 2020 6e61 6d65 3a20 7379 736c 6f67      name: syslog
│ │ │ -00052b30: 2d6e 670a 2020 2020 2020 656e 6162 6c65  -ng.      enable
│ │ │ -00052b40: 643a 2074 7275 650a 2020 2020 2020 7374  d: true.      st
│ │ │ -00052b50: 6174 653a 2073 7461 7274 6564 0a20 2020  ate: started.   
│ │ │ -00052b60: 2020 206d 6173 6b65 643a 2066 616c 7365     masked: false
│ │ │ -00052b70: 0a20 2020 2077 6865 6e3a 0a20 2020 202d  .    when:.    -
│ │ │ -00052b80: 2027 2273 7973 6c6f 672d 6e67 2220 696e   '"syslog-ng" in
│ │ │ -00052b90: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00052ba0: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ -00052bb0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -00052bc0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -00052bd0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -00052be0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -00052bf0: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ -00052c00: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00052c10: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -00052c20: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00052c30: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00052c40: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00052c50: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00052c60: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00052c70: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ -00052c80: 5f73 7973 6c6f 676e 675f 656e 6162 6c65  _syslogng_enable
│ │ │ -00052c90: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00052410: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00052420: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00052430: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00052440: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00052450: 6c61 7073 6522 2069 643d 2269 646d 3534  lapse" id="idm54
│ │ │ +00052460: 3633 223e 3c74 6162 6c65 2063 6c61 7373  63"><table class
│ │ │ +00052470: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00052480: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00052490: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000524a0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000524b0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000524c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000524d0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +000524e0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000524f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00052500: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00052510: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00052520: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00052530: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00052540: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00052550: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00052560: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00052570: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00052580: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00052590: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +000525a0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +000525b0: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +000525c0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000525d0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +000525e0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +000525f0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00052600: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00052610: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00052620: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00052630: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00052640: 6572 7669 6365 5f73 7973 6c6f 676e 675f  ervice_syslogng_
│ │ │ +00052650: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ +00052660: 2045 6e61 626c 6520 7379 736c 6f67 2d6e   Enable syslog-n
│ │ │ +00052670: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ +00052680: 6c65 2073 6572 7669 6365 2073 7973 6c6f  le service syslo
│ │ │ +00052690: 672d 6e67 0a20 2062 6c6f 636b 3a0a 0a20  g-ng.  block:.. 
│ │ │ +000526a0: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ +000526b0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +000526c0: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ +000526d0: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ +000526e0: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ +000526f0: 6d65 3a20 456e 6162 6c65 2073 7973 6c6f  me: Enable syslo
│ │ │ +00052700: 672d 6e67 2053 6572 7669 6365 202d 2045  g-ng Service - E
│ │ │ +00052710: 6e61 626c 6520 5365 7276 6963 6520 7379  nable Service sy
│ │ │ +00052720: 736c 6f67 2d6e 670a 2020 2020 616e 7369  slog-ng.    ansi
│ │ │ +00052730: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ +00052740: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ +00052750: 2073 7973 6c6f 672d 6e67 0a20 2020 2020   syslog-ng.     
│ │ │ +00052760: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ +00052770: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ +00052780: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ +00052790: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ +000527a0: 3a0a 2020 2020 2d20 2722 7379 736c 6f67  :.    - '"syslog
│ │ │ +000527b0: 2d6e 6722 2069 6e20 616e 7369 626c 655f  -ng" in ansible_
│ │ │ +000527c0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +000527d0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +000527e0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +000527f0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +00052800: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00052810: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ +00052820: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00052830: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00052840: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00052850: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00052860: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00052870: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00052880: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00052890: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +000528a0: 7365 7276 6963 655f 7379 736c 6f67 6e67  service_syslogng
│ │ │ +000528b0: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +000528c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +000528d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +000528e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +000528f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00052900: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │ +00052910: 3436 3422 2074 6162 696e 6465 783d 2230  464" tabindex="0
│ │ │ +00052920: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00052930: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00052940: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00052950: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00052960: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00052970: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00052980: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00052990: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +000529a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +000529b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +000529c0: 2069 643d 2269 646d 3534 3634 223e 3c70   id="idm5464"><p
│ │ │ +000529d0: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +000529e0: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +000529f0: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +00052a00: 7379 736c 6f67 2d6e 6722 5d0a 3c2f 636f  syslog-ng"].</co
│ │ │ +00052a10: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00052a20: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00052a30: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00052a40: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00052a50: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00052a60: 646d 3534 3635 2220 7461 6269 6e64 6578  dm5465" tabindex
│ │ │ +00052a70: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00052a80: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00052a90: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00052aa0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00052ab0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00052ac0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00052ad0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00052ae0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00052af0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00052b00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00052b10: 3534 3635 223e 3c74 6162 6c65 2063 6c61  5465"><table cla
│ │ │ +00052b20: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00052b30: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00052b40: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00052b50: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00052b60: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00052b70: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00052b80: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00052b90: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00052ba0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00052bb0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00052bc0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00052bd0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00052be0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00052bf0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00052c00: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00052c10: 636c 7564 6520 656e 6162 6c65 5f73 7973  clude enable_sys
│ │ │ +00052c20: 6c6f 672d 6e67 0a0a 636c 6173 7320 656e  log-ng..class en
│ │ │ +00052c30: 6162 6c65 5f73 7973 6c6f 672d 6e67 207b  able_syslog-ng {
│ │ │ +00052c40: 0a20 2073 6572 7669 6365 207b 2773 7973  .  service {'sys
│ │ │ +00052c50: 6c6f 672d 6e67 273a 0a20 2020 2065 6e61  log-ng':.    ena
│ │ │ +00052c60: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ +00052c70: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00052c80: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ +00052c90: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00052ca0: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00052cb0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00052cc0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00052cd0: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  00052ce0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00052cf0: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  00052d00: 5f70 6163 6b61 6765 5f72 7379 736c 6f67  _package_rsyslog
│ │ │ @@ -21402,179 +21402,179 @@
│ │ │  00053990: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  000539a0: 3d22 2369 646d 3438 3337 2220 7461 6269  ="#idm4837" tabi
│ │ │  000539b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  000539c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  000539d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  000539e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  000539f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00053a00: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -00053a10: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -00053a20: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00053a30: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00053a40: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00053a50: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ -00053a60: 3833 3722 3e3c 7072 653e 3c63 6f64 653e  837"><pre><code>
│ │ │ -00053a70: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -00053a80: 6d65 203d 2022 7273 7973 6c6f 6722 0a76  me = "rsyslog".v
│ │ │ -00053a90: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -00053aa0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00053ab0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00053ac0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00053ad0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00053ae0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00053af0: 6964 6d34 3833 3822 2074 6162 696e 6465  idm4838" tabinde
│ │ │ -00053b00: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00053b10: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00053b20: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00053b30: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00053b40: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00053b50: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00053b60: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00053b70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00053b80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00053b90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00053ba0: 6d34 3833 3822 3e3c 7461 626c 6520 636c  m4838"><table cl
│ │ │ -00053bb0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00053bc0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00053bd0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00053be0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00053bf0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00053c00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00053c10: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00053c20: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00053c30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00053c40: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00053c50: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00053c60: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00053c70: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00053c80: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00053c90: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -00053ca0: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f72  nclude install_r
│ │ │ -00053cb0: 7379 736c 6f67 0a0a 636c 6173 7320 696e  syslog..class in
│ │ │ -00053cc0: 7374 616c 6c5f 7273 7973 6c6f 6720 7b0a  stall_rsyslog {.
│ │ │ -00053cd0: 2020 7061 636b 6167 6520 7b20 2772 7379    package { 'rsy
│ │ │ -00053ce0: 736c 6f67 273a 0a20 2020 2065 6e73 7572  slog':.    ensur
│ │ │ -00053cf0: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ -00053d00: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00053d10: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00053d20: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00053d30: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00053d40: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00053d50: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00053d60: 6d34 3833 3922 2074 6162 696e 6465 783d  m4839" tabindex=
│ │ │ -00053d70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00053d80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00053d90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00053da0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00053db0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00053dc0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00053dd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00053de0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00053df0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00053e00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00053e10: 3438 3339 223e 3c74 6162 6c65 2063 6c61  4839"><table cla
│ │ │ -00053e20: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00053e30: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00053e40: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00053e50: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00053e60: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00053e70: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00053e80: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00053e90: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00053ea0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00053eb0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00053ec0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00053ed0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00053ee0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00053ef0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00053f00: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00053f10: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -00053f20: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -00053f30: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -00053f40: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -00053f50: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ -00053f60: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00053f70: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -00053f80: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00053f90: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00053fa0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00053fb0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00053fc0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00053fd0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00053fe0: 5f72 7379 736c 6f67 5f69 6e73 7461 6c6c  _rsyslog_install
│ │ │ -00053ff0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ -00054000: 7265 2072 7379 736c 6f67 2069 7320 696e  re rsyslog is in
│ │ │ -00054010: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -00054020: 653a 0a20 2020 206e 616d 653a 2072 7379  e:.    name: rsy
│ │ │ -00054030: 736c 6f67 0a20 2020 2073 7461 7465 3a20  slog.    state: 
│ │ │ -00054040: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -00054050: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00054060: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00054070: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -00054080: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00054090: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -000540a0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -000540b0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -000540c0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -000540d0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -000540e0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -000540f0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00054100: 7061 636b 6167 655f 7273 7973 6c6f 675f  package_rsyslog_
│ │ │ -00054110: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ -00054120: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00054130: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00054140: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00054150: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00054160: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00054170: 3438 3430 2220 7461 6269 6e64 6578 3d22  4840" tabindex="
│ │ │ -00054180: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00054190: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -000541a0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -000541b0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -000541c0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -000541d0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -000541e0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -000541f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00054200: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00054210: 7073 6522 2069 643d 2269 646d 3438 3430  pse" id="idm4840
│ │ │ -00054220: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00054230: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00054240: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00054250: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00054260: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00054270: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00054280: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00054290: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000542a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000542b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000542c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000542d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000542e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000542f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00054300: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00054310: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -00054320: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -00054330: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -00054340: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -00054350: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ -00054360: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ -00054370: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ -00054380: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ -00054390: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ -000543a0: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ -000543b0: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ -000543c0: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -000543d0: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -000543e0: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ -000543f0: 2d79 2022 7273 7973 6c6f 6722 0a0a 656c  -y "rsyslog"..el
│ │ │ -00054400: 7365 0a20 2020 2026 6774 3b26 616d 703b  se.    &gt;&amp;
│ │ │ -00054410: 3220 6563 686f 2027 5265 6d65 6469 6174  2 echo 'Remediat
│ │ │ -00054420: 696f 6e20 6973 206e 6f74 2061 7070 6c69  ion is not appli
│ │ │ -00054430: 6361 626c 652c 206e 6f74 6869 6e67 2077  cable, nothing w
│ │ │ -00054440: 6173 2064 6f6e 6527 0a66 690a 3c2f 636f  as done'.fi.</co
│ │ │ +00053a00: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00053a10: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00053a20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00053a30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00053a40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00053a50: 3d22 6964 6d34 3833 3722 3e3c 7461 626c  ="idm4837"><tabl
│ │ │ +00053a60: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00053a70: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00053a80: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00053a90: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00053aa0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00053ab0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00053ac0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00053ad0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00053ae0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00053af0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00053b00: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00053b10: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00053b20: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00053b30: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00053b40: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00053b50: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +00053b60: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +00053b70: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +00053b80: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +00053b90: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +00053ba0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00053bb0: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ +00053bc0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00053bd0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00053be0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00053bf0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00053c00: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00053c10: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00053c20: 636b 6167 655f 7273 7973 6c6f 675f 696e  ckage_rsyslog_in
│ │ │ +00053c30: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +00053c40: 2045 6e73 7572 6520 7273 7973 6c6f 6720   Ensure rsyslog 
│ │ │ +00053c50: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +00053c60: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +00053c70: 3a20 7273 7973 6c6f 670a 2020 2020 7374  : rsyslog.    st
│ │ │ +00053c80: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ +00053c90: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +00053ca0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +00053cb0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +00053cc0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +00053cd0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00053ce0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00053cf0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00053d00: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00053d10: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00053d20: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00053d30: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00053d40: 0a20 202d 2070 6163 6b61 6765 5f72 7379  .  - package_rsy
│ │ │ +00053d50: 736c 6f67 5f69 6e73 7461 6c6c 6564 0a3c  slog_installed.<
│ │ │ +00053d60: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00053d70: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00053d80: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00053d90: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00053da0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00053db0: 2223 6964 6d34 3833 3822 2074 6162 696e  "#idm4838" tabin
│ │ │ +00053dc0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00053dd0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00053de0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00053df0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00053e00: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00053e10: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +00053e20: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +00053e30: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00053e40: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00053e50: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00053e60: 6d34 3833 3822 3e3c 7461 626c 6520 636c  m4838"><table cl
│ │ │ +00053e70: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00053e80: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00053e90: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00053ea0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00053eb0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00053ec0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00053ed0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00053ee0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00053ef0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00053f00: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00053f10: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00053f20: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00053f30: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00053f40: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00053f50: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ +00053f60: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ +00053f70: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ +00053f80: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ +00053f90: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565  orms.if dpkg-que
│ │ │ +00053fa0: 7279 202d 2d73 686f 7720 2d2d 7368 6f77  ry --show --show
│ │ │ +00053fb0: 666f 726d 6174 3d27 247b 6462 3a53 7461  format='${db:Sta
│ │ │ +00053fc0: 7475 732d 5374 6174 7573 7d0a 2720 276c  tus-Status}.' 'l
│ │ │ +00053fd0: 696e 7578 2d62 6173 6527 2032 2667 743b  inux-base' 2&gt;
│ │ │ +00053fe0: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570  /dev/null | grep
│ │ │ +00053ff0: 202d 7120 5e69 6e73 7461 6c6c 6564 3b20   -q ^installed; 
│ │ │ +00054000: 7468 656e 0a0a 4445 4249 414e 5f46 524f  then..DEBIAN_FRO
│ │ │ +00054010: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +00054020: 7469 7665 2061 7074 2d67 6574 2069 6e73  tive apt-get ins
│ │ │ +00054030: 7461 6c6c 202d 7920 2272 7379 736c 6f67  tall -y "rsyslog
│ │ │ +00054040: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ +00054050: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ +00054060: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ +00054070: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ +00054080: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +00054090: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +000540a0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +000540b0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +000540c0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +000540d0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +000540e0: 743d 2223 6964 6d34 3833 3922 2074 6162  t="#idm4839" tab
│ │ │ +000540f0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00054100: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00054110: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00054120: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00054130: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00054140: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +00054150: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +00054160: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00054170: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00054180: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00054190: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +000541a0: 3438 3339 223e 3c70 7265 3e3c 636f 6465  4839"><pre><code
│ │ │ +000541b0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ +000541c0: 616d 6520 3d20 2272 7379 736c 6f67 220a  ame = "rsyslog".
│ │ │ +000541d0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ +000541e0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +000541f0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00054200: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00054210: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00054220: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00054230: 2369 646d 3438 3430 2220 7461 6269 6e64  #idm4840" tabind
│ │ │ +00054240: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00054250: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00054260: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00054270: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00054280: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00054290: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +000542a0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +000542b0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000542c0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000542d0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000542e0: 646d 3438 3430 223e 3c74 6162 6c65 2063  dm4840"><table c
│ │ │ +000542f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00054300: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00054310: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00054320: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00054330: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00054340: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00054350: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00054360: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00054370: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00054380: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00054390: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +000543a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000543b0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000543c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000543d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000543e0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +000543f0: 7273 7973 6c6f 670a 0a63 6c61 7373 2069  rsyslog..class i
│ │ │ +00054400: 6e73 7461 6c6c 5f72 7379 736c 6f67 207b  nstall_rsyslog {
│ │ │ +00054410: 0a20 2070 6163 6b61 6765 207b 2027 7273  .  package { 'rs
│ │ │ +00054420: 7973 6c6f 6727 3a0a 2020 2020 656e 7375  yslog':.    ensu
│ │ │ +00054430: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +00054440: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │  00054450: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00054460: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00054470: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00054480: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00054490: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  000544a0: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  000544b0: 6e74 656e 745f 7275 6c65 5f73 6572 7669  ntent_rule_servi
│ │ │ @@ -21803,149 +21803,149 @@
│ │ │  000552a0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000552b0: 6d34 3932 3322 2074 6162 696e 6465 783d  m4923" tabindex=
│ │ │  000552c0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  000552d0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  000552e0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  000552f0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  00055300: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00055310: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -00055320: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -00055330: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00055340: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00055350: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00055360: 6522 2069 643d 2269 646d 3439 3233 223e  e" id="idm4923">
│ │ │ -00055370: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ -00055380: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ -00055390: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ -000553a0: 5b22 7273 7973 6c6f 6722 5d0a 3c2f 636f  ["rsyslog"].</co
│ │ │ -000553b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000553c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000553d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000553e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000553f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00055400: 646d 3439 3234 2220 7461 6269 6e64 6578  dm4924" tabindex
│ │ │ -00055410: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00055420: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00055430: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00055440: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00055450: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00055460: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00055470: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00055480: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00055490: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000554a0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000554b0: 3439 3234 223e 3c74 6162 6c65 2063 6c61  4924"><table cla
│ │ │ -000554c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000554d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000554e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000554f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00055500: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00055510: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00055520: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00055530: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00055540: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00055550: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00055560: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00055570: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00055580: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00055590: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000555a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000555b0: 636c 7564 6520 656e 6162 6c65 5f72 7379  clude enable_rsy
│ │ │ -000555c0: 736c 6f67 0a0a 636c 6173 7320 656e 6162  slog..class enab
│ │ │ -000555d0: 6c65 5f72 7379 736c 6f67 207b 0a20 2073  le_rsyslog {.  s
│ │ │ -000555e0: 6572 7669 6365 207b 2772 7379 736c 6f67  ervice {'rsyslog
│ │ │ -000555f0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -00055600: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -00055610: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -00055620: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -00055630: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00055640: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00055650: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00055660: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00055670: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00055680: 646d 3439 3235 2220 7461 6269 6e64 6578  dm4925" tabindex
│ │ │ -00055690: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -000556a0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -000556b0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -000556c0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -000556d0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000556e0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000556f0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00055700: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00055710: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00055720: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00055730: 6d34 3932 3522 3e3c 7461 626c 6520 636c  m4925"><table cl
│ │ │ -00055740: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00055750: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00055760: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00055770: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00055780: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00055790: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -000557a0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000557b0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000557c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000557d0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000557e0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000557f0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00055800: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00055810: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00055820: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00055830: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00055840: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00055850: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00055860: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00055870: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00055880: 4953 542d 3830 302d 3533 2d41 552d 3428  IST-800-53-AU-4(
│ │ │ -00055890: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -000558a0: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -000558b0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -000558c0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -000558d0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -000558e0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -000558f0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00055900: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00055910: 2d20 7365 7276 6963 655f 7273 7973 6c6f  - service_rsyslo
│ │ │ -00055920: 675f 656e 6162 6c65 640a 0a2d 206e 616d  g_enabled..- nam
│ │ │ -00055930: 653a 2045 6e61 626c 6520 7273 7973 6c6f  e: Enable rsyslo
│ │ │ -00055940: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ -00055950: 6c65 2073 6572 7669 6365 2072 7379 736c  le service rsysl
│ │ │ -00055960: 6f67 0a20 2062 6c6f 636b 3a0a 0a20 202d  og.  block:..  -
│ │ │ -00055970: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00055980: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00055990: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ -000559a0: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ -000559b0: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ -000559c0: 3a20 456e 6162 6c65 2072 7379 736c 6f67  : Enable rsyslog
│ │ │ -000559d0: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ -000559e0: 6520 5365 7276 6963 6520 7273 7973 6c6f  e Service rsyslo
│ │ │ -000559f0: 670a 2020 2020 616e 7369 626c 652e 6275  g.    ansible.bu
│ │ │ -00055a00: 696c 7469 6e2e 7379 7374 656d 643a 0a20  iltin.systemd:. 
│ │ │ -00055a10: 2020 2020 206e 616d 653a 2072 7379 736c       name: rsysl
│ │ │ -00055a20: 6f67 0a20 2020 2020 2065 6e61 626c 6564  og.      enabled
│ │ │ -00055a30: 3a20 7472 7565 0a20 2020 2020 2073 7461  : true.      sta
│ │ │ -00055a40: 7465 3a20 7374 6172 7465 640a 2020 2020  te: started.    
│ │ │ -00055a50: 2020 6d61 736b 6564 3a20 6661 6c73 650a    masked: false.
│ │ │ -00055a60: 2020 2020 7768 656e 3a0a 2020 2020 2d20      when:.    - 
│ │ │ -00055a70: 2722 7273 7973 6c6f 6722 2069 6e20 616e  '"rsyslog" in an
│ │ │ -00055a80: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -00055a90: 6167 6573 270a 2020 7768 656e 3a20 2722  ages'.  when: '"
│ │ │ -00055aa0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -00055ab0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -00055ac0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -00055ad0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00055ae0: 552d 3428 3129 0a20 202d 204e 4953 542d  U-4(1).  - NIST-
│ │ │ -00055af0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00055b00: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00055b10: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00055b20: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00055b30: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00055b40: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00055b50: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00055b60: 640a 2020 2d20 7365 7276 6963 655f 7273  d.  - service_rs
│ │ │ -00055b70: 7973 6c6f 675f 656e 6162 6c65 640a 3c2f  yslog_enabled.</
│ │ │ +00055310: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +00055320: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00055330: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00055340: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00055350: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00055360: 3439 3233 223e 3c74 6162 6c65 2063 6c61  4923"><table cla
│ │ │ +00055370: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00055380: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00055390: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000553a0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +000553b0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +000553c0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000553d0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +000553e0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +000553f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00055400: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00055410: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00055420: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00055430: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00055440: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00055450: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00055460: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +00055470: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +00055480: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +00055490: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +000554a0: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +000554b0: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ +000554c0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +000554d0: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +000554e0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +000554f0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00055500: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00055510: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00055520: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00055530: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00055540: 2073 6572 7669 6365 5f72 7379 736c 6f67   service_rsyslog
│ │ │ +00055550: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ +00055560: 3a20 456e 6162 6c65 2072 7379 736c 6f67  : Enable rsyslog
│ │ │ +00055570: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ +00055580: 6520 7365 7276 6963 6520 7273 7973 6c6f  e service rsyslo
│ │ │ +00055590: 670a 2020 626c 6f63 6b3a 0a0a 2020 2d20  g.  block:..  - 
│ │ │ +000555a0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +000555b0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +000555c0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +000555d0: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +000555e0: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +000555f0: 2045 6e61 626c 6520 7273 7973 6c6f 6720   Enable rsyslog 
│ │ │ +00055600: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +00055610: 2053 6572 7669 6365 2072 7379 736c 6f67   Service rsyslog
│ │ │ +00055620: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ +00055630: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ +00055640: 2020 2020 6e61 6d65 3a20 7273 7973 6c6f      name: rsyslo
│ │ │ +00055650: 670a 2020 2020 2020 656e 6162 6c65 643a  g.      enabled:
│ │ │ +00055660: 2074 7275 650a 2020 2020 2020 7374 6174   true.      stat
│ │ │ +00055670: 653a 2073 7461 7274 6564 0a20 2020 2020  e: started.     
│ │ │ +00055680: 206d 6173 6b65 643a 2066 616c 7365 0a20   masked: false. 
│ │ │ +00055690: 2020 2077 6865 6e3a 0a20 2020 202d 2027     when:.    - '
│ │ │ +000556a0: 2272 7379 736c 6f67 2220 696e 2061 6e73  "rsyslog" in ans
│ │ │ +000556b0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +000556c0: 6765 7327 0a20 2077 6865 6e3a 2027 226c  ges'.  when: '"l
│ │ │ +000556d0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +000556e0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +000556f0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00055700: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00055710: 2d34 2831 290a 2020 2d20 4e49 5354 2d38  -4(1).  - NIST-8
│ │ │ +00055720: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00055730: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00055740: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00055750: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00055760: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00055770: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00055780: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00055790: 0a20 202d 2073 6572 7669 6365 5f72 7379  .  - service_rsy
│ │ │ +000557a0: 736c 6f67 5f65 6e61 626c 6564 0a3c 2f63  slog_enabled.</c
│ │ │ +000557b0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000557c0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000557d0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000557e0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000557f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00055800: 6964 6d34 3932 3422 2074 6162 696e 6465  idm4924" tabinde
│ │ │ +00055810: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00055820: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00055830: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00055840: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00055850: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00055860: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +00055870: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +00055880: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00055890: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000558a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000558b0: 7073 6522 2069 643d 2269 646d 3439 3234  pse" id="idm4924
│ │ │ +000558c0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +000558d0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +000558e0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +000558f0: 3d20 5b22 7273 7973 6c6f 6722 5d0a 3c2f  = ["rsyslog"].</
│ │ │ +00055900: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00055910: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00055920: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00055930: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00055940: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00055950: 2369 646d 3439 3235 2220 7461 6269 6e64  #idm4925" tabind
│ │ │ +00055960: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00055970: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00055980: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00055990: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +000559a0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000559b0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +000559c0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +000559d0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000559e0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000559f0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00055a00: 646d 3439 3235 223e 3c74 6162 6c65 2063  dm4925"><table c
│ │ │ +00055a10: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00055a20: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00055a30: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00055a40: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00055a50: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00055a60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00055a70: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00055a80: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00055a90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00055aa0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00055ab0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00055ac0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00055ad0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00055ae0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00055af0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00055b00: 696e 636c 7564 6520 656e 6162 6c65 5f72  include enable_r
│ │ │ +00055b10: 7379 736c 6f67 0a0a 636c 6173 7320 656e  syslog..class en
│ │ │ +00055b20: 6162 6c65 5f72 7379 736c 6f67 207b 0a20  able_rsyslog {. 
│ │ │ +00055b30: 2073 6572 7669 6365 207b 2772 7379 736c   service {'rsysl
│ │ │ +00055b40: 6f67 273a 0a20 2020 2065 6e61 626c 6520  og':.    enable 
│ │ │ +00055b50: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ +00055b60: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ +00055b70: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │  00055b80: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00055b90: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  00055ba0: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  00055bb0: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  00055bc0: 6174 612d 7474 2d69 643d 2263 6869 6c64  ata-tt-id="child
│ │ │  00055bd0: 7265 6e2d 7863 6364 665f 6f72 672e 7373  ren-xccdf_org.ss
│ │ │  00055be0: 6770 726f 6a65 6374 2e63 6f6e 7465 6e74  gproject.content
│ │ │ @@ -29878,182 +29878,182 @@
│ │ │  00074b50: 612d 7461 7267 6574 3d22 2369 646d 3935  a-target="#idm95
│ │ │  00074b60: 3335 2220 7461 6269 6e64 6578 3d22 3022  35" tabindex="0"
│ │ │  00074b70: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00074b80: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00074b90: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00074ba0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00074bb0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00074bc0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -00074bd0: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -00074be0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00074bf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00074c00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00074c10: 6964 3d22 6964 6d39 3533 3522 3e3c 7072  id="idm9535"><pr
│ │ │ -00074c20: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ -00074c30: 6765 735d 5d0a 6e61 6d65 203d 2022 6372  ges]].name = "cr
│ │ │ -00074c40: 6f6e 220a 7665 7273 696f 6e20 3d20 222a  on".version = "*
│ │ │ -00074c50: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00074c60: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00074c70: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00074c80: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00074c90: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00074ca0: 6574 3d22 2369 646d 3935 3336 2220 7461  et="#idm9536" ta
│ │ │ -00074cb0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00074cc0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00074cd0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00074ce0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00074cf0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00074d00: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00074d10: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -00074d20: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00074d30: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00074d40: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00074d50: 643d 2269 646d 3935 3336 223e 3c74 6162  d="idm9536"><tab
│ │ │ -00074d60: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00074d70: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00074d80: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00074d90: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00074da0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00074db0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00074dc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00074dd0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00074de0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00074df0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00074e00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00074e10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00074e20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00074e30: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00074e40: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00074e50: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -00074e60: 616c 6c5f 6372 6f6e 0a0a 636c 6173 7320  all_cron..class 
│ │ │ -00074e70: 696e 7374 616c 6c5f 6372 6f6e 207b 0a20  install_cron {. 
│ │ │ -00074e80: 2070 6163 6b61 6765 207b 2027 6372 6f6e   package { 'cron
│ │ │ -00074e90: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00074ea0: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -00074eb0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -00074ec0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00074ed0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00074ee0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00074ef0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00074f00: 2d74 6172 6765 743d 2223 6964 6d39 3533  -target="#idm953
│ │ │ -00074f10: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ -00074f20: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00074f30: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00074f40: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00074f50: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00074f60: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00074f70: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00074f80: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00074f90: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00074fa0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00074fb0: 7073 6522 2069 643d 2269 646d 3935 3337  pse" id="idm9537
│ │ │ -00074fc0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00074fd0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00074fe0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00074ff0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00075000: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00075010: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00075020: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00075030: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00075040: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00075050: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00075060: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00075070: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00075080: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00075090: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -000750a0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000750b0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -000750c0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000750d0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -000750e0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -000750f0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -00075100: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00075110: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00075120: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00075130: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00075140: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ -00075150: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00075160: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00075170: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00075180: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00075190: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -000751a0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000751b0: 6765 5f63 726f 6e5f 696e 7374 616c 6c65  ge_cron_installe
│ │ │ -000751c0: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ -000751d0: 6520 6372 6f6e 2069 7320 696e 7374 616c  e cron is instal
│ │ │ -000751e0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ -000751f0: 2020 206e 616d 653a 2063 726f 6e0a 2020     name: cron.  
│ │ │ -00075200: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00075210: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00075220: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00075230: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00075240: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00075250: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00075260: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ -00075270: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -00075280: 342d 322e 322e 360a 2020 2d20 656e 6162  4-2.2.6.  - enab
│ │ │ -00075290: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -000752a0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -000752b0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -000752c0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -000752d0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -000752e0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -000752f0: 6163 6b61 6765 5f63 726f 6e5f 696e 7374  ackage_cron_inst
│ │ │ -00075300: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ -00075310: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00075320: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00075330: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00075340: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00075350: 7461 7267 6574 3d22 2369 646d 3935 3338  target="#idm9538
│ │ │ -00075360: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00075370: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00075380: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00075390: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000753a0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000753b0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000753c0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -000753d0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000753e0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000753f0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00075400: 2069 643d 2269 646d 3935 3338 223e 3c74   id="idm9538"><t
│ │ │ -00075410: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00075420: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00075430: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00075440: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00075450: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00075460: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00075470: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00075480: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00075490: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -000754a0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -000754b0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -000754c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000754d0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -000754e0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -000754f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00075500: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ -00075510: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ -00075520: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ -00075530: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ -00075540: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ -00075550: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ -00075560: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ -00075570: 737d 0a27 2027 6c69 6e75 782d 6261 7365  s}.' 'linux-base
│ │ │ -00075580: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c  ' 2&gt;/dev/null
│ │ │ -00075590: 207c 2067 7265 7020 2d71 205e 696e 7374   | grep -q ^inst
│ │ │ -000755a0: 616c 6c65 643b 2074 6865 6e0a 0a44 4542  alled; then..DEB
│ │ │ -000755b0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -000755c0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -000755d0: 6765 7420 696e 7374 616c 6c20 2d79 2022  get install -y "
│ │ │ -000755e0: 6372 6f6e 220a 0a65 6c73 650a 2020 2020  cron"..else.    
│ │ │ -000755f0: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ -00075600: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ -00075610: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ -00075620: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ -00075630: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +00074bc0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00074bd0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00074be0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00074bf0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00074c00: 6170 7365 2220 6964 3d22 6964 6d39 3533  apse" id="idm953
│ │ │ +00074c10: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ +00074c20: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00074c30: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00074c40: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00074c50: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00074c60: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00074c70: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00074c80: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00074c90: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00074ca0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00074cb0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00074cc0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00074cd0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00074ce0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00074cf0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00074d00: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +00074d10: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +00074d20: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +00074d30: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +00074d40: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +00074d50: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00074d60: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00074d70: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00074d80: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +00074d90: 2e32 2e36 0a20 202d 2065 6e61 626c 655f  .2.6.  - enable_
│ │ │ +00074da0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00074db0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00074dc0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00074dd0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +00074de0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00074df0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00074e00: 6167 655f 6372 6f6e 5f69 6e73 7461 6c6c  age_cron_install
│ │ │ +00074e10: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +00074e20: 7265 2063 726f 6e20 6973 2069 6e73 7461  re cron is insta
│ │ │ +00074e30: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ +00074e40: 2020 2020 6e61 6d65 3a20 6372 6f6e 0a20      name: cron. 
│ │ │ +00074e50: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00074e60: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00074e70: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00074e80: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00074e90: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +00074ea0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00074eb0: 6129 0a20 202d 2050 4349 2d44 5353 7634  a).  - PCI-DSSv4
│ │ │ +00074ec0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +00074ed0: 7634 2d32 2e32 2e36 0a20 202d 2065 6e61  v4-2.2.6.  - ena
│ │ │ +00074ee0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00074ef0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00074f00: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00074f10: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00074f20: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00074f30: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00074f40: 7061 636b 6167 655f 6372 6f6e 5f69 6e73  package_cron_ins
│ │ │ +00074f50: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00074f60: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00074f70: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00074f80: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00074f90: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00074fa0: 2d74 6172 6765 743d 2223 6964 6d39 3533  -target="#idm953
│ │ │ +00074fb0: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ +00074fc0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00074fd0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00074fe0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00074ff0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00075000: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00075010: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +00075020: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00075030: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00075040: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00075050: 2220 6964 3d22 6964 6d39 3533 3622 3e3c  " id="idm9536"><
│ │ │ +00075060: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00075070: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00075080: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00075090: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000750a0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +000750b0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +000750c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000750d0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +000750e0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000750f0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00075100: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00075110: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00075120: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00075130: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00075140: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00075150: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ +00075160: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ +00075170: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ +00075180: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ +00075190: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ +000751a0: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ +000751b0: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ +000751c0: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ +000751d0: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ +000751e0: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ +000751f0: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ +00075200: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +00075210: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +00075220: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ +00075230: 2263 726f 6e22 0a0a 656c 7365 0a20 2020  "cron"..else.   
│ │ │ +00075240: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ +00075250: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ +00075260: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ +00075270: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ +00075280: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +00075290: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +000752a0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +000752b0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +000752c0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +000752d0: 7461 7267 6574 3d22 2369 646d 3935 3337  target="#idm9537
│ │ │ +000752e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +000752f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00075300: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00075310: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00075320: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00075330: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00075340: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +00075350: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +00075360: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00075370: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00075380: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00075390: 3d22 6964 6d39 3533 3722 3e3c 7072 653e  ="idm9537"><pre>
│ │ │ +000753a0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +000753b0: 735d 5d0a 6e61 6d65 203d 2022 6372 6f6e  s]].name = "cron
│ │ │ +000753c0: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ +000753d0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000753e0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000753f0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00075400: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00075410: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00075420: 3d22 2369 646d 3935 3338 2220 7461 6269  ="#idm9538" tabi
│ │ │ +00075430: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00075440: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00075450: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00075460: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00075470: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00075480: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00075490: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +000754a0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000754b0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000754c0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000754d0: 2269 646d 3935 3338 223e 3c74 6162 6c65  "idm9538"><table
│ │ │ +000754e0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000754f0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00075500: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00075510: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00075520: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00075530: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00075540: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00075550: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00075560: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00075570: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00075580: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00075590: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000755a0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +000755b0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000755c0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000755d0: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ +000755e0: 6c5f 6372 6f6e 0a0a 636c 6173 7320 696e  l_cron..class in
│ │ │ +000755f0: 7374 616c 6c5f 6372 6f6e 207b 0a20 2070  stall_cron {.  p
│ │ │ +00075600: 6163 6b61 6765 207b 2027 6372 6f6e 273a  ackage { 'cron':
│ │ │ +00075610: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00075620: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +00075630: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  00075640: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  00075650: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  00075660: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  00075670: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  00075680: 3d22 6368 696c 6472 656e 2d78 6363 6466  ="children-xccdf
│ │ │  00075690: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  000756a0: 636f 6e74 656e 745f 6772 6f75 705f 6465  content_group_de
│ │ │ @@ -30333,146 +30333,146 @@
│ │ │  000767c0: 6172 6765 743d 2223 6964 6d39 3732 3622  arget="#idm9726"
│ │ │  000767d0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  000767e0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  000767f0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00076800: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00076810: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00076820: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00076830: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00076840: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00076850: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00076860: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00076870: 2220 6964 3d22 6964 6d39 3732 3622 3e3c  " id="idm9726"><
│ │ │ -00076880: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00076890: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000768a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -000768b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -000768c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -000768d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -000768e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000768f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00076900: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00076910: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00076920: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00076930: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00076940: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00076950: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00076960: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00076970: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00076980: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ -00076990: 2d74 656c 6e65 7464 0a0a 636c 6173 7320  -telnetd..class 
│ │ │ -000769a0: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ -000769b0: 2d74 656c 6e65 7464 207b 0a20 2070 6163  -telnetd {.  pac
│ │ │ -000769c0: 6b61 6765 207b 2027 696e 6574 7574 696c  kage { 'inetutil
│ │ │ -000769d0: 732d 7465 6c6e 6574 6427 3a0a 2020 2020  s-telnetd':.    
│ │ │ -000769e0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -000769f0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -00076a00: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00076a10: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00076a20: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00076a30: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00076a40: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00076a50: 6964 6d39 3732 3722 2074 6162 696e 6465  idm9727" tabinde
│ │ │ -00076a60: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00076a70: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00076a80: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00076a90: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00076aa0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00076ab0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00076ac0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00076ad0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00076ae0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00076af0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00076b00: 646d 3937 3237 223e 3c74 6162 6c65 2063  dm9727"><table c
│ │ │ -00076b10: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00076b20: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00076b30: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00076b40: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00076b50: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00076b60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00076b70: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00076b80: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00076b90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00076ba0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00076bb0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00076bc0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00076bd0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00076be0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00076bf0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00076c00: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00076c10: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00076c20: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00076c30: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00076c40: 3a20 696e 6574 7574 696c 732d 7465 6c6e  : inetutils-teln
│ │ │ -00076c50: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00076c60: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00076c70: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00076c80: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00076c90: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00076ca0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00076cb0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00076cc0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00076cd0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00076ce0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00076cf0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00076d00: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00076d10: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00076d20: 6167 655f 696e 6574 7574 696c 732d 7465  age_inetutils-te
│ │ │ -00076d30: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ -00076d40: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00076d50: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00076d60: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00076d70: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00076d80: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00076d90: 2369 646d 3937 3238 2220 7461 6269 6e64  #idm9728" tabind
│ │ │ -00076da0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00076db0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00076dc0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00076dd0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00076de0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00076df0: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -00076e00: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -00076e10: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00076e20: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00076e30: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00076e40: 3937 3238 223e 3c74 6162 6c65 2063 6c61  9728"><table cla
│ │ │ -00076e50: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00076e60: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00076e70: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00076e80: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00076e90: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00076ea0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00076eb0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00076ec0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00076ed0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00076ee0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00076ef0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00076f00: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00076f10: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00076f20: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00076f30: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ -00076f40: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ -00076f50: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ -00076f60: 7074 2077 696c 6c20 7265 6d6f 7665 2069  pt will remove i
│ │ │ -00076f70: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -00076f80: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ -00076f90: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ -00076fa0: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ -00076fb0: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ -00076fc0: 656e 6420 6f6e 2069 6e65 7475 7469 6c73  end on inetutils
│ │ │ -00076fd0: 2d74 656c 6e65 7464 2e20 4578 6563 7574  -telnetd. Execut
│ │ │ -00076fe0: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ -00076ff0: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ -00077000: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ -00077010: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ -00077020: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ -00077030: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -00077040: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ -00077050: 656d 6f76 6520 2d79 2022 696e 6574 7574  emove -y "inetut
│ │ │ -00077060: 696c 732d 7465 6c6e 6574 6422 0a3c 2f63  ils-telnetd".</c
│ │ │ +00076830: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00076840: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00076850: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00076860: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00076870: 6522 2069 643d 2269 646d 3937 3236 223e  e" id="idm9726">
│ │ │ +00076880: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00076890: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000768a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000768b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000768c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000768d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000768e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000768f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00076900: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00076910: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00076920: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00076930: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00076940: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00076950: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00076960: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00076970: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00076980: 2045 6e73 7572 6520 696e 6574 7574 696c   Ensure inetutil
│ │ │ +00076990: 732d 7465 6c6e 6574 6420 6973 2072 656d  s-telnetd is rem
│ │ │ +000769a0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +000769b0: 2020 2020 6e61 6d65 3a20 696e 6574 7574      name: inetut
│ │ │ +000769c0: 696c 732d 7465 6c6e 6574 640a 2020 2020  ils-telnetd.    
│ │ │ +000769d0: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +000769e0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +000769f0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00076a00: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00076a10: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +00076a20: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +00076a30: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +00076a40: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +00076a50: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +00076a60: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00076a70: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00076a80: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00076a90: 2020 2d20 7061 636b 6167 655f 696e 6574    - package_inet
│ │ │ +00076aa0: 7574 696c 732d 7465 6c6e 6574 645f 7265  utils-telnetd_re
│ │ │ +00076ab0: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +00076ac0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00076ad0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00076ae0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00076af0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00076b00: 7461 7267 6574 3d22 2369 646d 3937 3237  target="#idm9727
│ │ │ +00076b10: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00076b20: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00076b30: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00076b40: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00076b50: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00076b60: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00076b70: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +00076b80: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00076b90: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00076ba0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00076bb0: 2069 643d 2269 646d 3937 3237 223e 3c74   id="idm9727"><t
│ │ │ +00076bc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00076bd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00076be0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00076bf0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00076c00: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00076c10: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00076c20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00076c30: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00076c40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00076c50: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00076c60: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00076c70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00076c80: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00076c90: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00076ca0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00076cb0: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ +00076cc0: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +00076cd0: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +00076ce0: 7265 6d6f 7665 2069 6e65 7475 7469 6c73  remove inetutils
│ │ │ +00076cf0: 2d74 656c 6e65 7464 0a23 0920 2020 6672  -telnetd.#.   fr
│ │ │ +00076d00: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +00076d10: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +00076d20: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +00076d30: 7468 6174 2064 6570 656e 6420 6f6e 2069  that depend on i
│ │ │ +00076d40: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ +00076d50: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00076d60: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00076d70: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +00076d80: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +00076d90: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +00076da0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00076db0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00076dc0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00076dd0: 2022 696e 6574 7574 696c 732d 7465 6c6e   "inetutils-teln
│ │ │ +00076de0: 6574 6422 0a3c 2f63 6f64 653e 3c2f 7072  etd".</code></pr
│ │ │ +00076df0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00076e00: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00076e10: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00076e20: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00076e30: 6172 6765 743d 2223 6964 6d39 3732 3822  arget="#idm9728"
│ │ │ +00076e40: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00076e50: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00076e60: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00076e70: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00076e80: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00076e90: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00076ea0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00076eb0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00076ec0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00076ed0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00076ee0: 2220 6964 3d22 6964 6d39 3732 3822 3e3c  " id="idm9728"><
│ │ │ +00076ef0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00076f00: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00076f10: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00076f20: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00076f30: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00076f40: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00076f50: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00076f60: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00076f70: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00076f80: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00076f90: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00076fa0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00076fb0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00076fc0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00076fd0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00076fe0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00076ff0: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ +00077000: 2d74 656c 6e65 7464 0a0a 636c 6173 7320  -telnetd..class 
│ │ │ +00077010: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ +00077020: 2d74 656c 6e65 7464 207b 0a20 2070 6163  -telnetd {.  pac
│ │ │ +00077030: 6b61 6765 207b 2027 696e 6574 7574 696c  kage { 'inetutil
│ │ │ +00077040: 732d 7465 6c6e 6574 6427 3a0a 2020 2020  s-telnetd':.    
│ │ │ +00077050: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +00077060: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  00077070: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00077080: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  00077090: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  000770a0: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  000770b0: 7461 2d74 742d 6964 3d22 7863 6364 665f  ta-tt-id="xccdf_
│ │ │  000770c0: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  000770d0: 6f6e 7465 6e74 5f72 756c 655f 7061 636b  ontent_rule_pack
│ │ │ @@ -30567,134 +30567,134 @@
│ │ │  00077660: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00077670: 6964 6d39 3733 3522 2074 6162 696e 6465  idm9735" tabinde
│ │ │  00077680: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00077690: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  000776a0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  000776b0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  000776c0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000776d0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -000776e0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000776f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00077700: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00077710: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00077720: 6d39 3733 3522 3e3c 7461 626c 6520 636c  m9735"><table cl
│ │ │ -00077730: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00077740: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00077750: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00077760: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00077770: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00077780: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00077790: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000777a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000777b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000777c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000777d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000777e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000777f0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00077800: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00077810: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00077820: 696e 636c 7564 6520 7265 6d6f 7665 5f6e  include remove_n
│ │ │ -00077830: 6973 0a0a 636c 6173 7320 7265 6d6f 7665  is..class remove
│ │ │ -00077840: 5f6e 6973 207b 0a20 2070 6163 6b61 6765  _nis {.  package
│ │ │ -00077850: 207b 2027 6e69 7327 3a0a 2020 2020 656e   { 'nis':.    en
│ │ │ -00077860: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00077870: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00077880: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00077890: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -000778a0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -000778b0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -000778c0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -000778d0: 6d39 3733 3622 2074 6162 696e 6465 783d  m9736" tabindex=
│ │ │ -000778e0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -000778f0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00077900: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00077910: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00077920: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00077930: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00077940: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00077950: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00077960: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00077970: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00077980: 3937 3336 223e 3c74 6162 6c65 2063 6c61  9736"><table cla
│ │ │ -00077990: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000779a0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000779b0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000779c0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000779d0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000779e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000779f0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077a00: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077a10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077a20: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077a30: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077a40: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077a50: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00077a60: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00077a70: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00077a80: 206e 616d 653a 2045 6e73 7572 6520 6e69   name: Ensure ni
│ │ │ -00077a90: 7320 6973 2072 656d 6f76 6564 0a20 2070  s is removed.  p
│ │ │ -00077aa0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00077ab0: 3a20 6e69 730a 2020 2020 7374 6174 653a  : nis.    state:
│ │ │ -00077ac0: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -00077ad0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00077ae0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00077af0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00077b00: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -00077b10: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -00077b20: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00077b30: 0a20 202d 2070 6163 6b61 6765 5f6e 6973  .  - package_nis
│ │ │ -00077b40: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -00077b50: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077b60: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077b70: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077b80: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077b90: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00077ba0: 3733 3722 2074 6162 696e 6465 783d 2230  737" tabindex="0
│ │ │ -00077bb0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00077bc0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00077bd0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00077be0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00077bf0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00077c00: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -00077c10: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -00077c20: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00077c30: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00077c40: 7365 2220 6964 3d22 6964 6d39 3733 3722  se" id="idm9737"
│ │ │ -00077c50: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00077c60: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00077c70: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00077c80: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00077c90: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00077ca0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00077cb0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00077cc0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00077cd0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00077ce0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00077cf0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00077d00: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00077d10: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00077d20: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00077d30: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00077d40: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -00077d50: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -00077d60: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -00077d70: 6c6c 2072 656d 6f76 6520 6e69 730a 2309  ll remove nis.#.
│ │ │ -00077d80: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ -00077d90: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ -00077da0: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ -00077db0: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ -00077dc0: 206f 6e20 6e69 732e 2045 7865 6375 7465   on nis. Execute
│ │ │ -00077dd0: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ -00077de0: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ -00077df0: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ -00077e00: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ -00077e10: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ -00077e20: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -00077e30: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ -00077e40: 6d6f 7665 202d 7920 226e 6973 220a 3c2f  move -y "nis".</
│ │ │ +000776d0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +000776e0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +000776f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00077700: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00077710: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00077720: 646d 3937 3335 223e 3c74 6162 6c65 2063  dm9735"><table c
│ │ │ +00077730: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00077740: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00077750: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00077760: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00077770: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00077780: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00077790: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000777a0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +000777b0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000777c0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +000777d0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +000777e0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000777f0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00077800: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00077810: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00077820: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +00077830: 6e69 7320 6973 2072 656d 6f76 6564 0a20  nis is removed. 
│ │ │ +00077840: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00077850: 6d65 3a20 6e69 730a 2020 2020 7374 6174  me: nis.    stat
│ │ │ +00077860: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +00077870: 3a0a 2020 2d20 6469 7361 626c 655f 7374  :.  - disable_st
│ │ │ +00077880: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00077890: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +000778a0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +000778b0: 206c 6f77 5f73 6576 6572 6974 790a 2020   low_severity.  
│ │ │ +000778c0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +000778d0: 6564 0a20 202d 2070 6163 6b61 6765 5f6e  ed.  - package_n
│ │ │ +000778e0: 6973 5f72 656d 6f76 6564 0a3c 2f63 6f64  is_removed.</cod
│ │ │ +000778f0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00077900: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00077910: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00077920: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00077930: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00077940: 6d39 3733 3622 2074 6162 696e 6465 783d  m9736" tabindex=
│ │ │ +00077950: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00077960: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00077970: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00077980: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00077990: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +000779a0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +000779b0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +000779c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000779d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000779e0: 6170 7365 2220 6964 3d22 6964 6d39 3733  apse" id="idm973
│ │ │ +000779f0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +00077a00: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00077a10: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00077a20: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00077a30: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00077a40: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00077a50: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00077a60: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00077a70: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00077a80: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00077a90: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00077aa0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00077ab0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00077ac0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00077ad0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00077ae0: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ +00077af0: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ +00077b00: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ +00077b10: 7769 6c6c 2072 656d 6f76 6520 6e69 730a  will remove nis.
│ │ │ +00077b20: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +00077b30: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +00077b40: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +00077b50: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +00077b60: 6e64 206f 6e20 6e69 732e 2045 7865 6375  nd on nis. Execu
│ │ │ +00077b70: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ +00077b80: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ +00077b90: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ +00077ba0: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ +00077bb0: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ +00077bc0: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +00077bd0: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +00077be0: 7265 6d6f 7665 202d 7920 226e 6973 220a  remove -y "nis".
│ │ │ +00077bf0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00077c00: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00077c10: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00077c20: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00077c30: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00077c40: 3d22 2369 646d 3937 3337 2220 7461 6269  ="#idm9737" tabi
│ │ │ +00077c50: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00077c60: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00077c70: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00077c80: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00077c90: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00077ca0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00077cb0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00077cc0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00077cd0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00077ce0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00077cf0: 2269 646d 3937 3337 223e 3c74 6162 6c65  "idm9737"><table
│ │ │ +00077d00: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00077d10: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00077d20: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00077d30: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00077d40: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00077d50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00077d60: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00077d70: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00077d80: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00077d90: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00077da0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00077db0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00077dc0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00077dd0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00077de0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00077df0: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00077e00: 655f 6e69 730a 0a63 6c61 7373 2072 656d  e_nis..class rem
│ │ │ +00077e10: 6f76 655f 6e69 7320 7b0a 2020 7061 636b  ove_nis {.  pack
│ │ │ +00077e20: 6167 6520 7b20 276e 6973 273a 0a20 2020  age { 'nis':.   
│ │ │ +00077e30: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00077e40: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00077e50: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00077e60: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  00077e70: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  00077e80: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  00077e90: 6174 612d 7474 2d69 643d 2278 6363 6466  ata-tt-id="xccdf
│ │ │  00077ea0: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  00077eb0: 636f 6e74 656e 745f 7275 6c65 5f70 6163  content_rule_pac
│ │ │ @@ -30790,137 +30790,137 @@
│ │ │  00078450: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00078460: 2223 6964 6d39 3734 3422 2074 6162 696e  "#idm9744" tabin
│ │ │  00078470: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00078480: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00078490: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  000784a0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  000784b0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -000784c0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -000784d0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -000784e0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000784f0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00078500: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00078510: 6964 6d39 3734 3422 3e3c 7461 626c 6520  idm9744"><table 
│ │ │ -00078520: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00078530: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00078540: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00078550: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00078560: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00078570: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00078580: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00078590: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000785a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000785b0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -000785c0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -000785d0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -000785e0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -000785f0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00078600: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00078610: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -00078620: 5f6e 7470 6461 7465 0a0a 636c 6173 7320  _ntpdate..class 
│ │ │ -00078630: 7265 6d6f 7665 5f6e 7470 6461 7465 207b  remove_ntpdate {
│ │ │ -00078640: 0a20 2070 6163 6b61 6765 207b 2027 6e74  .  package { 'nt
│ │ │ -00078650: 7064 6174 6527 3a0a 2020 2020 656e 7375  pdate':.    ensu
│ │ │ -00078660: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00078670: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00078680: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00078690: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000786a0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -000786b0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -000786c0: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -000786d0: 3734 3522 2074 6162 696e 6465 783d 2230  745" tabindex="0
│ │ │ -000786e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -000786f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00078700: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00078710: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00078720: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00078730: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00078740: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00078750: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00078760: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00078770: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ -00078780: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ -00078790: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -000787a0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -000787b0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -000787c0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -000787d0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -000787e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000787f0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00078800: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00078810: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00078820: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00078830: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00078840: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00078850: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00078860: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00078870: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00078880: 616d 653a 2045 6e73 7572 6520 6e74 7064  ame: Ensure ntpd
│ │ │ -00078890: 6174 6520 6973 2072 656d 6f76 6564 0a20  ate is removed. 
│ │ │ -000788a0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -000788b0: 6d65 3a20 6e74 7064 6174 650a 2020 2020  me: ntpdate.    
│ │ │ -000788c0: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -000788d0: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ -000788e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -000788f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00078900: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00078910: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ -00078920: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00078930: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00078940: 6765 5f6e 7470 6461 7465 5f72 656d 6f76  ge_ntpdate_remov
│ │ │ -00078950: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -00078960: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00078970: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00078980: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00078990: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -000789a0: 6765 743d 2223 6964 6d39 3734 3622 2074  get="#idm9746" t
│ │ │ -000789b0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -000789c0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -000789d0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -000789e0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -000789f0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00078a00: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00078a10: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -00078a20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00078a30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00078a40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00078a50: 3d22 6964 6d39 3734 3622 3e3c 7461 626c  ="idm9746"><tabl
│ │ │ -00078a60: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00078a70: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00078a80: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00078a90: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00078aa0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00078ab0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00078ac0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00078ad0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00078ae0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00078af0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00078b00: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00078b10: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00078b20: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00078b30: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00078b40: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00078b50: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -00078b60: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -00078b70: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -00078b80: 6f76 6520 6e74 7064 6174 650a 2309 2020  ove ntpdate.#.  
│ │ │ -00078b90: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -00078ba0: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -00078bb0: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -00078bc0: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -00078bd0: 6e20 6e74 7064 6174 652e 2045 7865 6375  n ntpdate. Execu
│ │ │ -00078be0: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ -00078bf0: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ -00078c00: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ -00078c10: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ -00078c20: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ -00078c30: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -00078c40: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -00078c50: 7265 6d6f 7665 202d 7920 226e 7470 6461  remove -y "ntpda
│ │ │ -00078c60: 7465 220a 3c2f 636f 6465 3e3c 2f70 7265  te".</code></pre
│ │ │ +000784c0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +000784d0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +000784e0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000784f0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00078500: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00078510: 2269 646d 3937 3434 223e 3c74 6162 6c65  "idm9744"><table
│ │ │ +00078520: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00078530: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00078540: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00078550: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00078560: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00078570: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078580: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00078590: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000785a0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000785b0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +000785c0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000785d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000785e0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +000785f0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00078600: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00078610: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +00078620: 6520 6e74 7064 6174 6520 6973 2072 656d  e ntpdate is rem
│ │ │ +00078630: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +00078640: 2020 2020 6e61 6d65 3a20 6e74 7064 6174      name: ntpdat
│ │ │ +00078650: 650a 2020 2020 7374 6174 653a 2061 6273  e.    state: abs
│ │ │ +00078660: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +00078670: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00078680: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00078690: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000786a0: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ +000786b0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +000786c0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +000786d0: 2070 6163 6b61 6765 5f6e 7470 6461 7465   package_ntpdate
│ │ │ +000786e0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +000786f0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00078700: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00078710: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00078720: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00078730: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +00078740: 3734 3522 2074 6162 696e 6465 783d 2230  745" tabindex="0
│ │ │ +00078750: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00078760: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00078770: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00078780: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00078790: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000787a0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +000787b0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +000787c0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000787d0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000787e0: 7365 2220 6964 3d22 6964 6d39 3734 3522  se" id="idm9745"
│ │ │ +000787f0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00078800: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00078810: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00078820: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00078830: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00078840: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00078850: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00078860: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00078870: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078880: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00078890: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +000788a0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +000788b0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +000788c0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +000788d0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +000788e0: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ +000788f0: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ +00078900: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ +00078910: 6c6c 2072 656d 6f76 6520 6e74 7064 6174  ll remove ntpdat
│ │ │ +00078920: 650a 2309 2020 2066 726f 6d20 7468 6520  e.#.   from the 
│ │ │ +00078930: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ +00078940: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ +00078950: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ +00078960: 7065 6e64 206f 6e20 6e74 7064 6174 652e  pend on ntpdate.
│ │ │ +00078970: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ +00078980: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ +00078990: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ +000789a0: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ +000789b0: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ +000789c0: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +000789d0: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +000789e0: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ +000789f0: 226e 7470 6461 7465 220a 3c2f 636f 6465  "ntpdate".</code
│ │ │ +00078a00: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00078a10: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00078a20: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00078a30: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00078a40: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00078a50: 3937 3436 2220 7461 6269 6e64 6578 3d22  9746" tabindex="
│ │ │ +00078a60: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00078a70: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00078a80: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00078a90: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00078aa0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00078ab0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +00078ac0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00078ad0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00078ae0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00078af0: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ +00078b00: 3436 223e 3c74 6162 6c65 2063 6c61 7373  46"><table class
│ │ │ +00078b10: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00078b20: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00078b30: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00078b40: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00078b50: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00078b60: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00078b70: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00078b80: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00078b90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00078ba0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00078bb0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00078bc0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00078bd0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00078be0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00078bf0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00078c00: 6c75 6465 2072 656d 6f76 655f 6e74 7064  lude remove_ntpd
│ │ │ +00078c10: 6174 650a 0a63 6c61 7373 2072 656d 6f76  ate..class remov
│ │ │ +00078c20: 655f 6e74 7064 6174 6520 7b0a 2020 7061  e_ntpdate {.  pa
│ │ │ +00078c30: 636b 6167 6520 7b20 276e 7470 6461 7465  ckage { 'ntpdate
│ │ │ +00078c40: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00078c50: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00078c60: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00078c70: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  00078c80: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  00078c90: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  00078ca0: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  00078cb0: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  00078cc0: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  00078cd0: 6c65 5f70 6163 6b61 6765 5f74 656c 6e65  le_package_telne
│ │ │ @@ -31132,143 +31132,143 @@
│ │ │  000799b0: 6765 743d 2223 6964 6d39 3834 3522 2074  get="#idm9845" t
│ │ │  000799c0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  000799d0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  000799e0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  000799f0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00079a00: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00079a10: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00079a20: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00079a30: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00079a40: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00079a50: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00079a60: 6964 3d22 6964 6d39 3834 3522 3e3c 7461  id="idm9845"><ta
│ │ │ -00079a70: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00079a80: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00079a90: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00079aa0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00079ab0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00079ac0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00079ad0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079ae0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00079af0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00079b00: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00079b10: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00079b20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079b30: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00079b40: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00079b50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00079b60: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -00079b70: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ -00079b80: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ -00079b90: 656c 6e65 7464 2d73 736c 207b 0a20 2070  elnetd-ssl {.  p
│ │ │ -00079ba0: 6163 6b61 6765 207b 2027 7465 6c6e 6574  ackage { 'telnet
│ │ │ -00079bb0: 642d 7373 6c27 3a0a 2020 2020 656e 7375  d-ssl':.    ensu
│ │ │ -00079bc0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00079bd0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00079be0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00079bf0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00079c00: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00079c10: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00079c20: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00079c30: 3834 3622 2074 6162 696e 6465 783d 2230  846" tabindex="0
│ │ │ -00079c40: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00079c50: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00079c60: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00079c70: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00079c80: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00079c90: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00079ca0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00079cb0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00079cc0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00079cd0: 6c61 7073 6522 2069 643d 2269 646d 3938  lapse" id="idm98
│ │ │ -00079ce0: 3436 223e 3c74 6162 6c65 2063 6c61 7373  46"><table class
│ │ │ -00079cf0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00079d00: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00079d10: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00079d20: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00079d30: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00079d40: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00079d50: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00079d60: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00079d70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079d80: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00079d90: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00079da0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00079db0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00079dc0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00079dd0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00079de0: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ -00079df0: 6574 642d 7373 6c20 6973 2072 656d 6f76  etd-ssl is remov
│ │ │ -00079e00: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00079e10: 2020 6e61 6d65 3a20 7465 6c6e 6574 642d    name: telnetd-
│ │ │ -00079e20: 7373 6c0a 2020 2020 7374 6174 653a 2061  ssl.    state: a
│ │ │ -00079e30: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00079e40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00079e50: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00079e60: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00079e70: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00079e80: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00079e90: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00079ea0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00079eb0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00079ec0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00079ed0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00079ee0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00079ef0: 6167 655f 7465 6c6e 6574 642d 7373 6c5f  age_telnetd-ssl_
│ │ │ -00079f00: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -00079f10: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00079f20: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00079f30: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00079f40: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00079f50: 612d 7461 7267 6574 3d22 2369 646d 3938  a-target="#idm98
│ │ │ -00079f60: 3437 2220 7461 6269 6e64 6578 3d22 3022  47" tabindex="0"
│ │ │ -00079f70: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00079f80: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00079f90: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00079fa0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00079fb0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00079fc0: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -00079fd0: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -00079fe0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00079ff0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0007a000: 6522 2069 643d 2269 646d 3938 3437 223e  e" id="idm9847">
│ │ │ -0007a010: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007a020: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007a030: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007a040: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007a050: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007a060: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007a070: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007a080: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007a090: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007a0a0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007a0b0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007a0c0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007a0d0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007a0e0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0007a0f0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0007a100: 7265 3e3c 636f 6465 3e0a 2320 4341 5554  re><code>.# CAUT
│ │ │ -0007a110: 494f 4e3a 2054 6869 7320 7265 6d65 6469  ION: This remedi
│ │ │ -0007a120: 6174 696f 6e20 7363 7269 7074 2077 696c  ation script wil
│ │ │ -0007a130: 6c20 7265 6d6f 7665 2074 656c 6e65 7464  l remove telnetd
│ │ │ -0007a140: 2d73 736c 0a23 0920 2020 6672 6f6d 2074  -ssl.#.   from t
│ │ │ -0007a150: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ -0007a160: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ -0007a170: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ -0007a180: 2064 6570 656e 6420 6f6e 2074 656c 6e65   depend on telne
│ │ │ -0007a190: 7464 2d73 736c 2e20 4578 6563 7574 6520  td-ssl. Execute 
│ │ │ -0007a1a0: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ -0007a1b0: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ -0007a1c0: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ -0007a1d0: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ -0007a1e0: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ -0007a1f0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -0007a200: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ -0007a210: 6f76 6520 2d79 2022 7465 6c6e 6574 642d  ove -y "telnetd-
│ │ │ -0007a220: 7373 6c22 0a3c 2f63 6f64 653e 3c2f 7072  ssl".</code></pr
│ │ │ +00079a20: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00079a30: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00079a40: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00079a50: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00079a60: 2069 643d 2269 646d 3938 3435 223e 3c74   id="idm9845"><t
│ │ │ +00079a70: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00079a80: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00079a90: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00079aa0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00079ab0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00079ac0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00079ad0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00079ae0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00079af0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00079b00: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00079b10: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00079b20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00079b30: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00079b40: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00079b50: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00079b60: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +00079b70: 6e73 7572 6520 7465 6c6e 6574 642d 7373  nsure telnetd-ss
│ │ │ +00079b80: 6c20 6973 2072 656d 6f76 6564 0a20 2070  l is removed.  p
│ │ │ +00079b90: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +00079ba0: 3a20 7465 6c6e 6574 642d 7373 6c0a 2020  : telnetd-ssl.  
│ │ │ +00079bb0: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00079bc0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00079bd0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00079be0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00079bf0: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ +00079c00: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ +00079c10: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00079c20: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +00079c30: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +00079c40: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00079c50: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00079c60: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00079c70: 640a 2020 2d20 7061 636b 6167 655f 7465  d.  - package_te
│ │ │ +00079c80: 6c6e 6574 642d 7373 6c5f 7265 6d6f 7665  lnetd-ssl_remove
│ │ │ +00079c90: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00079ca0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00079cb0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00079cc0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00079cd0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00079ce0: 6574 3d22 2369 646d 3938 3436 2220 7461  et="#idm9846" ta
│ │ │ +00079cf0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00079d00: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00079d10: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00079d20: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00079d30: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00079d40: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00079d50: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ +00079d60: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00079d70: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00079d80: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00079d90: 2269 646d 3938 3436 223e 3c74 6162 6c65  "idm9846"><table
│ │ │ +00079da0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00079db0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00079dc0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00079dd0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00079de0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00079df0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00079e00: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00079e10: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00079e20: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00079e30: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00079e40: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00079e50: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00079e60: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00079e70: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00079e80: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00079e90: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ +00079ea0: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ +00079eb0: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ +00079ec0: 7665 2074 656c 6e65 7464 2d73 736c 0a23  ve telnetd-ssl.#
│ │ │ +00079ed0: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +00079ee0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +00079ef0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +00079f00: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +00079f10: 6420 6f6e 2074 656c 6e65 7464 2d73 736c  d on telnetd-ssl
│ │ │ +00079f20: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00079f30: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00079f40: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +00079f50: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +00079f60: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +00079f70: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00079f80: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00079f90: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00079fa0: 2022 7465 6c6e 6574 642d 7373 6c22 0a3c   "telnetd-ssl".<
│ │ │ +00079fb0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00079fc0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00079fd0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00079fe0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00079ff0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0007a000: 2223 6964 6d39 3834 3722 2074 6162 696e  "#idm9847" tabin
│ │ │ +0007a010: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0007a020: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0007a030: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0007a040: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0007a050: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0007a060: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0007a070: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0007a080: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0007a090: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0007a0a0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0007a0b0: 6964 6d39 3834 3722 3e3c 7461 626c 6520  idm9847"><table 
│ │ │ +0007a0c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0007a0d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0007a0e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0007a0f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0007a100: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0007a110: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007a120: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0007a130: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0007a140: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007a150: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0007a160: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0007a170: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0007a180: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0007a190: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0007a1a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0007a1b0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +0007a1c0: 5f74 656c 6e65 7464 2d73 736c 0a0a 636c  _telnetd-ssl..cl
│ │ │ +0007a1d0: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ +0007a1e0: 7464 2d73 736c 207b 0a20 2070 6163 6b61  td-ssl {.  packa
│ │ │ +0007a1f0: 6765 207b 2027 7465 6c6e 6574 642d 7373  ge { 'telnetd-ss
│ │ │ +0007a200: 6c27 3a0a 2020 2020 656e 7375 7265 203d  l':.    ensure =
│ │ │ +0007a210: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ +0007a220: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  0007a230: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  0007a240: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  0007a250: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  0007a260: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  0007a270: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  0007a280: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  0007a290: 756c 655f 7061 636b 6167 655f 7465 6c6e  ule_package_teln
│ │ │ @@ -31479,141 +31479,141 @@
│ │ │  0007af60: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0007af70: 646d 3939 3435 2220 7461 6269 6e64 6578  dm9945" tabindex
│ │ │  0007af80: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  0007af90: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  0007afa0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  0007afb0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  0007afc0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0007afd0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0007afe0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0007aff0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0007b000: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0007b010: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0007b020: 3939 3435 223e 3c74 6162 6c65 2063 6c61  9945"><table cla
│ │ │ -0007b030: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0007b040: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0007b050: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0007b060: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0007b070: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0007b080: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0007b090: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0007b0a0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0007b0b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007b0c0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0007b0d0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0007b0e0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0007b0f0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -0007b100: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0007b110: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -0007b120: 6e63 6c75 6465 2072 656d 6f76 655f 7465  nclude remove_te
│ │ │ -0007b130: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ -0007b140: 6f76 655f 7465 6c6e 6574 6420 7b0a 2020  ove_telnetd {.  
│ │ │ -0007b150: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ -0007b160: 7464 273a 0a20 2020 2065 6e73 7572 6520  td':.    ensure 
│ │ │ -0007b170: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -0007b180: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0007b190: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0007b1a0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0007b1b0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0007b1c0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0007b1d0: 7461 7267 6574 3d22 2369 646d 3939 3436  target="#idm9946
│ │ │ -0007b1e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -0007b1f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -0007b200: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -0007b210: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -0007b220: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -0007b230: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0007b240: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -0007b250: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0007b260: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0007b270: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0007b280: 7365 2220 6964 3d22 6964 6d39 3934 3622  se" id="idm9946"
│ │ │ -0007b290: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0007b2a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0007b2b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0007b2c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0007b2d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0007b2e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0007b2f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007b300: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0007b310: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007b320: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0007b330: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0007b340: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0007b350: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0007b360: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0007b370: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0007b380: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0007b390: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ -0007b3a0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -0007b3b0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -0007b3c0: 2074 656c 6e65 7464 0a20 2020 2073 7461   telnetd.    sta
│ │ │ -0007b3d0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -0007b3e0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0007b3f0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -0007b400: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -0007b410: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -0007b420: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ -0007b430: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -0007b440: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -0007b450: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -0007b460: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -0007b470: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -0007b480: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -0007b490: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ -0007b4a0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -0007b4b0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0007b4c0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0007b4d0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0007b4e0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0007b4f0: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -0007b500: 3934 3722 2074 6162 696e 6465 783d 2230  947" tabindex="0
│ │ │ -0007b510: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0007b520: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0007b530: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0007b540: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0007b550: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007b560: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0007b570: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0007b580: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0007b590: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0007b5a0: 7365 2220 6964 3d22 6964 6d39 3934 3722  se" id="idm9947"
│ │ │ -0007b5b0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0007b5c0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0007b5d0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0007b5e0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0007b5f0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0007b600: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0007b610: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007b620: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0007b630: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007b640: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0007b650: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0007b660: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0007b670: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0007b680: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0007b690: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0007b6a0: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -0007b6b0: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -0007b6c0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -0007b6d0: 6c6c 2072 656d 6f76 6520 7465 6c6e 6574  ll remove telnet
│ │ │ -0007b6e0: 640a 2309 2020 2066 726f 6d20 7468 6520  d.#.   from the 
│ │ │ -0007b6f0: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ -0007b700: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ -0007b710: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ -0007b720: 7065 6e64 206f 6e20 7465 6c6e 6574 642e  pend on telnetd.
│ │ │ -0007b730: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -0007b740: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -0007b750: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -0007b760: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -0007b770: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -0007b780: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -0007b790: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -0007b7a0: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -0007b7b0: 2274 656c 6e65 7464 220a 3c2f 636f 6465  "telnetd".</code
│ │ │ +0007afd0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +0007afe0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +0007aff0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0007b000: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0007b010: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0007b020: 6d39 3934 3522 3e3c 7461 626c 6520 636c  m9945"><table cl
│ │ │ +0007b030: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0007b040: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0007b050: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0007b060: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0007b070: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0007b080: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007b090: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0007b0a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0007b0b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007b0c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0007b0d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0007b0e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0007b0f0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +0007b100: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0007b110: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0007b120: 2d20 6e61 6d65 3a20 456e 7375 7265 2074  - name: Ensure t
│ │ │ +0007b130: 656c 6e65 7464 2069 7320 7265 6d6f 7665  elnetd is remove
│ │ │ +0007b140: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +0007b150: 206e 616d 653a 2074 656c 6e65 7464 0a20   name: telnetd. 
│ │ │ +0007b160: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +0007b170: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +0007b180: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +0007b190: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007b1a0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +0007b1b0: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +0007b1c0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +0007b1d0: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +0007b1e0: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +0007b1f0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0007b200: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0007b210: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +0007b220: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ +0007b230: 656c 6e65 7464 5f72 656d 6f76 6564 0a3c  elnetd_removed.<
│ │ │ +0007b240: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0007b250: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0007b260: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0007b270: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0007b280: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0007b290: 2223 6964 6d39 3934 3622 2074 6162 696e  "#idm9946" tabin
│ │ │ +0007b2a0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0007b2b0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0007b2c0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0007b2d0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0007b2e0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0007b2f0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +0007b300: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +0007b310: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0007b320: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0007b330: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0007b340: 6d39 3934 3622 3e3c 7461 626c 6520 636c  m9946"><table cl
│ │ │ +0007b350: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0007b360: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0007b370: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0007b380: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0007b390: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0007b3a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007b3b0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0007b3c0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0007b3d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007b3e0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0007b3f0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0007b400: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0007b410: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +0007b420: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0007b430: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0007b440: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ +0007b450: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ +0007b460: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ +0007b470: 7465 6c6e 6574 640a 2309 2020 2066 726f  telnetd.#.   fro
│ │ │ +0007b480: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ +0007b490: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ +0007b4a0: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ +0007b4b0: 6861 7420 6465 7065 6e64 206f 6e20 7465  hat depend on te
│ │ │ +0007b4c0: 6c6e 6574 642e 2045 7865 6375 7465 2074  lnetd. Execute t
│ │ │ +0007b4d0: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ +0007b4e0: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ +0007b4f0: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ +0007b500: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ +0007b510: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ +0007b520: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +0007b530: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ +0007b540: 7665 202d 7920 2274 656c 6e65 7464 220a  ve -y "telnetd".
│ │ │ +0007b550: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0007b560: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0007b570: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0007b580: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0007b590: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0007b5a0: 3d22 2369 646d 3939 3437 2220 7461 6269  ="#idm9947" tabi
│ │ │ +0007b5b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0007b5c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0007b5d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0007b5e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0007b5f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0007b600: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0007b610: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0007b620: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0007b630: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0007b640: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0007b650: 2269 646d 3939 3437 223e 3c74 6162 6c65  "idm9947"><table
│ │ │ +0007b660: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0007b670: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0007b680: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0007b690: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0007b6a0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0007b6b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007b6c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0007b6d0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0007b6e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007b6f0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0007b700: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0007b710: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0007b720: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0007b730: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0007b740: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0007b750: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +0007b760: 655f 7465 6c6e 6574 640a 0a63 6c61 7373  e_telnetd..class
│ │ │ +0007b770: 2072 656d 6f76 655f 7465 6c6e 6574 6420   remove_telnetd 
│ │ │ +0007b780: 7b0a 2020 7061 636b 6167 6520 7b20 2774  {.  package { 't
│ │ │ +0007b790: 656c 6e65 7464 273a 0a20 2020 2065 6e73  elnetd':.    ens
│ │ │ +0007b7a0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +0007b7b0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  0007b7c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  0007b7d0: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  0007b7e0: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  0007b7f0: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  0007b800: 7474 2d69 643d 2263 6869 6c64 7265 6e2d  tt-id="children-
│ │ │  0007b810: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  0007b820: 6a65 6374 2e63 6f6e 7465 6e74 5f67 726f  ject.content_gro
│ │ │ @@ -32061,179 +32061,179 @@
│ │ │  0007d3c0: 6574 3d22 2369 646d 3130 3333 3122 2074  et="#idm10331" t
│ │ │  0007d3d0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0007d3e0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0007d3f0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0007d400: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0007d410: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0007d420: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007d430: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -0007d440: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -0007d450: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007d460: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007d470: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007d480: 646d 3130 3333 3122 3e3c 7072 653e 3c63  dm10331"><pre><c
│ │ │ -0007d490: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ -0007d4a0: 5d0a 6e61 6d65 203d 2022 6e74 7022 0a76  ].name = "ntp".v
│ │ │ -0007d4b0: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -0007d4c0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0007d4d0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0007d4e0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0007d4f0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0007d500: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0007d510: 6964 6d31 3033 3332 2220 7461 6269 6e64  idm10332" tabind
│ │ │ -0007d520: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0007d530: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0007d540: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0007d550: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0007d560: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0007d570: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0007d580: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0007d590: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007d5a0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007d5b0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007d5c0: 646d 3130 3333 3222 3e3c 7461 626c 6520  dm10332"><table 
│ │ │ -0007d5d0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0007d5e0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0007d5f0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0007d600: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0007d610: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0007d620: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007d630: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0007d640: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0007d650: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007d660: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0007d670: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0007d680: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0007d690: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0007d6a0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007d6b0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007d6c0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0007d6d0: 5f6e 7470 0a0a 636c 6173 7320 696e 7374  _ntp..class inst
│ │ │ -0007d6e0: 616c 6c5f 6e74 7020 7b0a 2020 7061 636b  all_ntp {.  pack
│ │ │ -0007d6f0: 6167 6520 7b20 276e 7470 273a 0a20 2020  age { 'ntp':.   
│ │ │ -0007d700: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -0007d710: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -0007d720: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0007d730: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0007d740: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0007d750: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0007d760: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0007d770: 743d 2223 6964 6d31 3033 3333 2220 7461  t="#idm10333" ta
│ │ │ -0007d780: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0007d790: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0007d7a0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0007d7b0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0007d7c0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0007d7d0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007d7e0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -0007d7f0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0007d800: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0007d810: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0007d820: 6964 3d22 6964 6d31 3033 3333 223e 3c74  id="idm10333"><t
│ │ │ -0007d830: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007d840: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007d850: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007d860: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007d870: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007d880: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007d890: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007d8a0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007d8b0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007d8c0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007d8d0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007d8e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007d8f0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007d900: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0007d910: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0007d920: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -0007d930: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -0007d940: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -0007d950: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -0007d960: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -0007d970: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0007d980: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -0007d990: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -0007d9a0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -0007d9b0: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ -0007d9c0: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ -0007d9d0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0007d9e0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -0007d9f0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0007da00: 2020 2d20 7061 636b 6167 655f 6e74 705f    - package_ntp_
│ │ │ -0007da10: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -0007da20: 653a 2045 6e73 7572 6520 6e74 7020 6973  e: Ensure ntp is
│ │ │ -0007da30: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -0007da40: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0007da50: 6e74 700a 2020 2020 7374 6174 653a 2070  ntp.    state: p
│ │ │ -0007da60: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ -0007da70: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0007da80: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0007da90: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -0007daa0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007dab0: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0007dac0: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ -0007dad0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0007dae0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -0007daf0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -0007db00: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0007db10: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -0007db20: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0007db30: 2d20 7061 636b 6167 655f 6e74 705f 696e  - package_ntp_in
│ │ │ -0007db40: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ -0007db50: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0007db60: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0007db70: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0007db80: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0007db90: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -0007dba0: 3333 3422 2074 6162 696e 6465 783d 2230  334" tabindex="0
│ │ │ -0007dbb0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0007dbc0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0007dbd0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0007dbe0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0007dbf0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007dc00: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0007dc10: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0007dc20: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0007dc30: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0007dc40: 7365 2220 6964 3d22 6964 6d31 3033 3334  se" id="idm10334
│ │ │ -0007dc50: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0007dc60: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0007dc70: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0007dc80: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0007dc90: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0007dca0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0007dcb0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007dcc0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0007dcd0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0007dce0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0007dcf0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0007dd00: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0007dd10: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0007dd20: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -0007dd30: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0007dd40: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -0007dd50: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -0007dd60: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -0007dd70: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -0007dd80: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ -0007dd90: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ -0007dda0: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ -0007ddb0: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ -0007ddc0: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ -0007ddd0: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ -0007dde0: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ -0007ddf0: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -0007de00: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -0007de10: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ -0007de20: 2d79 2022 6e74 7022 0a0a 656c 7365 0a20  -y "ntp"..else. 
│ │ │ -0007de30: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ -0007de40: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ -0007de50: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ -0007de60: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ -0007de70: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +0007d430: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0007d440: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0007d450: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0007d460: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0007d470: 2069 643d 2269 646d 3130 3333 3122 3e3c   id="idm10331"><
│ │ │ +0007d480: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0007d490: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0007d4a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0007d4b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0007d4c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0007d4d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0007d4e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007d4f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0007d500: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0007d510: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0007d520: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0007d530: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007d540: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0007d550: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0007d560: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007d570: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +0007d580: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +0007d590: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +0007d5a0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +0007d5b0: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +0007d5c0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0007d5d0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +0007d5e0: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ +0007d5f0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +0007d600: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +0007d610: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +0007d620: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0007d630: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0007d640: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0007d650: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ +0007d660: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ +0007d670: 6d65 3a20 456e 7375 7265 206e 7470 2069  me: Ensure ntp i
│ │ │ +0007d680: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ +0007d690: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0007d6a0: 206e 7470 0a20 2020 2073 7461 7465 3a20   ntp.    state: 
│ │ │ +0007d6b0: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ +0007d6c0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +0007d6d0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +0007d6e0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +0007d6f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007d700: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +0007d710: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ +0007d720: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0007d730: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +0007d740: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +0007d750: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0007d760: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +0007d770: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0007d780: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ +0007d790: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0007d7a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007d7b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007d7c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007d7d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007d7e0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0007d7f0: 3033 3332 2220 7461 6269 6e64 6578 3d22  0332" tabindex="
│ │ │ +0007d800: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007d810: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007d820: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007d830: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007d840: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007d850: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +0007d860: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +0007d870: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0007d880: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0007d890: 7073 6522 2069 643d 2269 646d 3130 3333  pse" id="idm1033
│ │ │ +0007d8a0: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ +0007d8b0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0007d8c0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0007d8d0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0007d8e0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0007d8f0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0007d900: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007d910: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0007d920: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007d930: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0007d940: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0007d950: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0007d960: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0007d970: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0007d980: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0007d990: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ +0007d9a0: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ +0007d9b0: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ +0007d9c0: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ +0007d9d0: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ +0007d9e0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ +0007d9f0: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ +0007da00: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ +0007da10: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ +0007da20: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ +0007da30: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ +0007da40: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +0007da50: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +0007da60: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ +0007da70: 202d 7920 226e 7470 220a 0a65 6c73 650a   -y "ntp"..else.
│ │ │ +0007da80: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ +0007da90: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ +0007daa0: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ +0007dab0: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ +0007dac0: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0007dad0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007dae0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007daf0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007db00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007db10: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0007db20: 3033 3333 2220 7461 6269 6e64 6578 3d22  0333" tabindex="
│ │ │ +0007db30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007db40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007db50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007db60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007db70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007db80: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +0007db90: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +0007dba0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007dbb0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007dbc0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007dbd0: 2220 6964 3d22 6964 6d31 3033 3333 223e  " id="idm10333">
│ │ │ +0007dbe0: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +0007dbf0: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +0007dc00: 226e 7470 220a 7665 7273 696f 6e20 3d20  "ntp".version = 
│ │ │ +0007dc10: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ +0007dc20: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0007dc30: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0007dc40: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0007dc50: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0007dc60: 7267 6574 3d22 2369 646d 3130 3333 3422  rget="#idm10334"
│ │ │ +0007dc70: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0007dc80: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0007dc90: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0007dca0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0007dcb0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0007dcc0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0007dcd0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +0007dce0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007dcf0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007dd00: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007dd10: 2220 6964 3d22 6964 6d31 3033 3334 223e  " id="idm10334">
│ │ │ +0007dd20: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0007dd30: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0007dd40: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0007dd50: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0007dd60: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0007dd70: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0007dd80: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007dd90: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0007dda0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007ddb0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0007ddc0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0007ddd0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0007dde0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0007ddf0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0007de00: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0007de10: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +0007de20: 696e 7374 616c 6c5f 6e74 700a 0a63 6c61  install_ntp..cla
│ │ │ +0007de30: 7373 2069 6e73 7461 6c6c 5f6e 7470 207b  ss install_ntp {
│ │ │ +0007de40: 0a20 2070 6163 6b61 6765 207b 2027 6e74  .  package { 'nt
│ │ │ +0007de50: 7027 3a0a 2020 2020 656e 7375 7265 203d  p':.    ensure =
│ │ │ +0007de60: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +0007de70: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0007de80: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  0007de90: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  0007dea0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  0007deb0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  0007dec0: 2d69 643d 2278 6363 6466 5f6f 7267 2e73  -id="xccdf_org.s
│ │ │  0007ded0: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │  0007dee0: 745f 7275 6c65 5f73 6572 7669 6365 5f6e  t_rule_service_n
│ │ │ @@ -32461,157 +32461,157 @@
│ │ │  0007ecc0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0007ecd0: 3130 3430 3422 2074 6162 696e 6465 783d  10404" tabindex=
│ │ │  0007ece0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  0007ecf0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  0007ed00: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  0007ed10: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  0007ed20: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0007ed30: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -0007ed40: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -0007ed50: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0007ed60: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0007ed70: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0007ed80: 6522 2069 643d 2269 646d 3130 3430 3422  e" id="idm10404"
│ │ │ -0007ed90: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ -0007eda0: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ -0007edb0: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ -0007edc0: 205b 226e 7470 225d 0a3c 2f63 6f64 653e   ["ntp"].</code>
│ │ │ -0007edd0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0007ede0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0007edf0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0007ee00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0007ee10: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -0007ee20: 3034 3035 2220 7461 6269 6e64 6578 3d22  0405" tabindex="
│ │ │ -0007ee30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0007ee40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0007ee50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0007ee60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0007ee70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0007ee80: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -0007ee90: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0007eea0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0007eeb0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0007eec0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -0007eed0: 3430 3522 3e3c 7461 626c 6520 636c 6173  405"><table clas
│ │ │ -0007eee0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0007eef0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0007ef00: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0007ef10: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0007ef20: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0007ef30: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007ef40: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0007ef50: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0007ef60: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ef70: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0007ef80: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0007ef90: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0007efa0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -0007efb0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0007efc0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -0007efd0: 6c75 6465 2065 6e61 626c 655f 6e74 700a  lude enable_ntp.
│ │ │ -0007efe0: 0a63 6c61 7373 2065 6e61 626c 655f 6e74  .class enable_nt
│ │ │ -0007eff0: 7020 7b0a 2020 7365 7276 6963 6520 7b27  p {.  service {'
│ │ │ -0007f000: 6e74 7027 3a0a 2020 2020 656e 6162 6c65  ntp':.    enable
│ │ │ -0007f010: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ -0007f020: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ -0007f030: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │ -0007f040: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0007f050: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0007f060: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0007f070: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0007f080: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0007f090: 2223 6964 6d31 3034 3036 2220 7461 6269  "#idm10406" tabi
│ │ │ -0007f0a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007f0b0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007f0c0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007f0d0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007f0e0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007f0f0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0007f100: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0007f110: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007f120: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007f130: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007f140: 3d22 6964 6d31 3034 3036 223e 3c74 6162  ="idm10406"><tab
│ │ │ -0007f150: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007f160: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007f170: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007f180: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007f190: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007f1a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007f1b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007f1c0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007f1d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007f1e0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007f1f0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007f200: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007f210: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007f220: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -0007f230: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007f240: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -0007f250: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -0007f260: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -0007f270: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -0007f280: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -0007f290: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007f2a0: 4155 2d38 2831 2928 6129 0a20 202d 204e  AU-8(1)(a).  - N
│ │ │ -0007f2b0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0007f2c0: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ -0007f2d0: 6571 2d31 302e 340a 2020 2d20 5043 492d  eq-10.4.  - PCI-
│ │ │ -0007f2e0: 4453 5376 342d 3130 2e36 0a20 202d 2050  DSSv4-10.6.  - P
│ │ │ -0007f2f0: 4349 2d44 5353 7634 2d31 302e 362e 310a  CI-DSSv4-10.6.1.
│ │ │ -0007f300: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -0007f310: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -0007f320: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -0007f330: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0007f340: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0007f350: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0007f360: 0a20 202d 2073 6572 7669 6365 5f6e 7470  .  - service_ntp
│ │ │ -0007f370: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ -0007f380: 3a20 456e 6162 6c65 2074 6865 204e 5450  : Enable the NTP
│ │ │ -0007f390: 2044 6165 6d6f 6e20 2d20 456e 6162 6c65   Daemon - Enable
│ │ │ -0007f3a0: 2073 6572 7669 6365 206e 7470 0a20 2062   service ntp.  b
│ │ │ -0007f3b0: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ -0007f3c0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -0007f3d0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ -0007f3e0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -0007f3f0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -0007f400: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ -0007f410: 6c65 2074 6865 204e 5450 2044 6165 6d6f  le the NTP Daemo
│ │ │ -0007f420: 6e20 2d20 456e 6162 6c65 2053 6572 7669  n - Enable Servi
│ │ │ -0007f430: 6365 206e 7470 0a20 2020 2061 6e73 6962  ce ntp.    ansib
│ │ │ -0007f440: 6c65 2e62 7569 6c74 696e 2e73 7973 7465  le.builtin.syste
│ │ │ -0007f450: 6d64 3a0a 2020 2020 2020 6e61 6d65 3a20  md:.      name: 
│ │ │ -0007f460: 6e74 700a 2020 2020 2020 656e 6162 6c65  ntp.      enable
│ │ │ -0007f470: 643a 2074 7275 650a 2020 2020 2020 7374  d: true.      st
│ │ │ -0007f480: 6174 653a 2073 7461 7274 6564 0a20 2020  ate: started.   
│ │ │ -0007f490: 2020 206d 6173 6b65 643a 2066 616c 7365     masked: false
│ │ │ -0007f4a0: 0a20 2020 2077 6865 6e3a 0a20 2020 202d  .    when:.    -
│ │ │ -0007f4b0: 2027 226e 7470 2220 696e 2061 6e73 6962   '"ntp" in ansib
│ │ │ -0007f4c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -0007f4d0: 7327 0a20 2077 6865 6e3a 0a20 202d 2027  s'.  when:.  - '
│ │ │ -0007f4e0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0007f4f0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0007f500: 636b 6167 6573 270a 2020 2d20 2722 6e74  ckages'.  - '"nt
│ │ │ -0007f510: 7022 2069 6e20 616e 7369 626c 655f 6661  p" in ansible_fa
│ │ │ -0007f520: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -0007f530: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -0007f540: 3030 2d35 332d 4155 2d38 2831 2928 6129  00-53-AU-8(1)(a)
│ │ │ -0007f550: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0007f560: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -0007f570: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ -0007f580: 2d20 5043 492d 4453 5376 342d 3130 2e36  - PCI-DSSv4-10.6
│ │ │ -0007f590: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ -0007f5a0: 302e 362e 310a 2020 2d20 656e 6162 6c65  0.6.1.  - enable
│ │ │ -0007f5b0: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -0007f5c0: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -0007f5d0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0007f5e0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0007f5f0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -0007f600: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ -0007f610: 6365 5f6e 7470 5f65 6e61 626c 6564 0a3c  ce_ntp_enabled.<
│ │ │ +0007ed30: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +0007ed40: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0007ed50: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0007ed60: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0007ed70: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0007ed80: 3130 3430 3422 3e3c 7461 626c 6520 636c  10404"><table cl
│ │ │ +0007ed90: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0007eda0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0007edb0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0007edc0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0007edd0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0007ede0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007edf0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0007ee00: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0007ee10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007ee20: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0007ee30: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0007ee40: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0007ee50: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0007ee60: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0007ee70: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +0007ee80: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +0007ee90: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0007eea0: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +0007eeb0: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +0007eec0: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ +0007eed0: 4953 542d 3830 302d 3533 2d41 552d 3828  IST-800-53-AU-8(
│ │ │ +0007eee0: 3129 2861 290a 2020 2d20 4e49 5354 2d38  1)(a).  - NIST-8
│ │ │ +0007eef0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0007ef00: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ +0007ef10: 2e34 0a20 202d 2050 4349 2d44 5353 7634  .4.  - PCI-DSSv4
│ │ │ +0007ef20: 2d31 302e 360a 2020 2d20 5043 492d 4453  -10.6.  - PCI-DS
│ │ │ +0007ef30: 5376 342d 3130 2e36 2e31 0a20 202d 2065  Sv4-10.6.1.  - e
│ │ │ +0007ef40: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +0007ef50: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +0007ef60: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0007ef70: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0007ef80: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +0007ef90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0007efa0: 7365 7276 6963 655f 6e74 705f 656e 6162  service_ntp_enab
│ │ │ +0007efb0: 6c65 640a 0a2d 206e 616d 653a 2045 6e61  led..- name: Ena
│ │ │ +0007efc0: 626c 6520 7468 6520 4e54 5020 4461 656d  ble the NTP Daem
│ │ │ +0007efd0: 6f6e 202d 2045 6e61 626c 6520 7365 7276  on - Enable serv
│ │ │ +0007efe0: 6963 6520 6e74 700a 2020 626c 6f63 6b3a  ice ntp.  block:
│ │ │ +0007eff0: 0a0a 2020 2d20 6e61 6d65 3a20 4761 7468  ..  - name: Gath
│ │ │ +0007f000: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +0007f010: 6163 7473 0a20 2020 2070 6163 6b61 6765  acts.    package
│ │ │ +0007f020: 5f66 6163 7473 3a0a 2020 2020 2020 6d61  _facts:.      ma
│ │ │ +0007f030: 6e61 6765 723a 2061 7574 6f0a 0a20 202d  nager: auto..  -
│ │ │ +0007f040: 206e 616d 653a 2045 6e61 626c 6520 7468   name: Enable th
│ │ │ +0007f050: 6520 4e54 5020 4461 656d 6f6e 202d 2045  e NTP Daemon - E
│ │ │ +0007f060: 6e61 626c 6520 5365 7276 6963 6520 6e74  nable Service nt
│ │ │ +0007f070: 700a 2020 2020 616e 7369 626c 652e 6275  p.    ansible.bu
│ │ │ +0007f080: 696c 7469 6e2e 7379 7374 656d 643a 0a20  iltin.systemd:. 
│ │ │ +0007f090: 2020 2020 206e 616d 653a 206e 7470 0a20       name: ntp. 
│ │ │ +0007f0a0: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ +0007f0b0: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ +0007f0c0: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ +0007f0d0: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ +0007f0e0: 7768 656e 3a0a 2020 2020 2d20 2722 6e74  when:.    - '"nt
│ │ │ +0007f0f0: 7022 2069 6e20 616e 7369 626c 655f 6661  p" in ansible_fa
│ │ │ +0007f100: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0007f110: 7768 656e 3a0a 2020 2d20 2722 6c69 6e75  when:.  - '"linu
│ │ │ +0007f120: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +0007f130: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +0007f140: 7327 0a20 202d 2027 226e 7470 2220 696e  s'.  - '"ntp" in
│ │ │ +0007f150: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +0007f160: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +0007f170: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007f180: 2d41 552d 3828 3129 2861 290a 2020 2d20  -AU-8(1)(a).  - 
│ │ │ +0007f190: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0007f1a0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ +0007f1b0: 5265 712d 3130 2e34 0a20 202d 2050 4349  Req-10.4.  - PCI
│ │ │ +0007f1c0: 2d44 5353 7634 2d31 302e 360a 2020 2d20  -DSSv4-10.6.  - 
│ │ │ +0007f1d0: 5043 492d 4453 5376 342d 3130 2e36 2e31  PCI-DSSv4-10.6.1
│ │ │ +0007f1e0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +0007f1f0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +0007f200: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +0007f210: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0007f220: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0007f230: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +0007f240: 640a 2020 2d20 7365 7276 6963 655f 6e74  d.  - service_nt
│ │ │ +0007f250: 705f 656e 6162 6c65 640a 3c2f 636f 6465  p_enabled.</code
│ │ │ +0007f260: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007f270: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007f280: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007f290: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007f2a0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007f2b0: 3130 3430 3522 2074 6162 696e 6465 783d  10405" tabindex=
│ │ │ +0007f2c0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007f2d0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007f2e0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007f2f0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007f300: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007f310: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +0007f320: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +0007f330: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0007f340: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0007f350: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0007f360: 6522 2069 643d 2269 646d 3130 3430 3522  e" id="idm10405"
│ │ │ +0007f370: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ +0007f380: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ +0007f390: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ +0007f3a0: 205b 226e 7470 225d 0a3c 2f63 6f64 653e   ["ntp"].</code>
│ │ │ +0007f3b0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007f3c0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007f3d0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007f3e0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007f3f0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0007f400: 3034 3036 2220 7461 6269 6e64 6578 3d22  0406" tabindex="
│ │ │ +0007f410: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007f420: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007f430: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007f440: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007f450: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007f460: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0007f470: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007f480: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007f490: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007f4a0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +0007f4b0: 3430 3622 3e3c 7461 626c 6520 636c 6173  406"><table clas
│ │ │ +0007f4c0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0007f4d0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0007f4e0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0007f4f0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0007f500: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0007f510: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0007f520: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0007f530: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0007f540: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007f550: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0007f560: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0007f570: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0007f580: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0007f590: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007f5a0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0007f5b0: 6c75 6465 2065 6e61 626c 655f 6e74 700a  lude enable_ntp.
│ │ │ +0007f5c0: 0a63 6c61 7373 2065 6e61 626c 655f 6e74  .class enable_nt
│ │ │ +0007f5d0: 7020 7b0a 2020 7365 7276 6963 6520 7b27  p {.  service {'
│ │ │ +0007f5e0: 6e74 7027 3a0a 2020 2020 656e 6162 6c65  ntp':.    enable
│ │ │ +0007f5f0: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ +0007f600: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ +0007f610: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │  0007f620: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0007f630: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0007f640: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0007f650: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0007f660: 6461 7461 2d74 742d 6964 3d22 6368 696c  data-tt-id="chil
│ │ │  0007f670: 6472 656e 2d78 6363 6466 5f6f 7267 2e73  dren-xccdf_org.s
│ │ │  0007f680: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │ @@ -36203,204 +36203,204 @@
│ │ │  0008d6a0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  0008d6b0: 2369 646d 3133 3430 3922 2074 6162 696e  #idm13409" tabin
│ │ │  0008d6c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  0008d6d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  0008d6e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  0008d6f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  0008d700: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0008d710: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -0008d720: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -0008d730: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0008d740: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0008d750: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0008d760: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ -0008d770: 3430 3922 3e3c 7072 653e 3c63 6f64 653e  409"><pre><code>
│ │ │ -0008d780: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -0008d790: 6d65 203d 2022 6175 6469 7464 220a 7665  me = "auditd".ve
│ │ │ -0008d7a0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -0008d7b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0008d7c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0008d7d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0008d7e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0008d7f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0008d800: 646d 3133 3431 3022 2074 6162 696e 6465  dm13410" tabinde
│ │ │ -0008d810: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0008d820: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0008d830: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0008d840: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0008d850: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0008d860: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0008d870: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0008d880: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0008d890: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0008d8a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0008d8b0: 6d31 3334 3130 223e 3c74 6162 6c65 2063  m13410"><table c
│ │ │ -0008d8c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0008d8d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0008d8e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0008d8f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0008d900: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0008d910: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0008d920: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0008d930: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0008d940: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0008d950: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0008d960: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0008d970: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0008d980: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -0008d990: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0008d9a0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0008d9b0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ -0008d9c0: 6175 6469 7464 0a0a 636c 6173 7320 696e  auditd..class in
│ │ │ -0008d9d0: 7374 616c 6c5f 6175 6469 7464 207b 0a20  stall_auditd {. 
│ │ │ -0008d9e0: 2070 6163 6b61 6765 207b 2027 6175 6469   package { 'audi
│ │ │ -0008d9f0: 7464 273a 0a20 2020 2065 6e73 7572 6520  td':.    ensure 
│ │ │ -0008da00: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ -0008da10: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0008da20: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0008da30: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0008da40: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0008da50: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0008da60: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -0008da70: 3334 3131 2220 7461 6269 6e64 6578 3d22  3411" tabindex="
│ │ │ -0008da80: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0008da90: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0008daa0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0008dab0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0008dac0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0008dad0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0008dae0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0008daf0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0008db00: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0008db10: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0008db20: 3334 3131 223e 3c74 6162 6c65 2063 6c61  3411"><table cla
│ │ │ -0008db30: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0008db40: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0008db50: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0008db60: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0008db70: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0008db80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0008db90: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0008dba0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0008dbb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0008dbc0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0008dbd0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0008dbe0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0008dbf0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0008dc00: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0008dc10: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -0008dc20: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -0008dc30: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -0008dc40: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0008dc50: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -0008dc60: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ -0008dc70: 5354 2d38 3030 2d35 332d 4143 2d37 2861  ST-800-53-AC-7(a
│ │ │ -0008dc80: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0008dc90: 332d 4155 2d31 3228 3229 0a20 202d 204e  3-AU-12(2).  - N
│ │ │ -0008dca0: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -0008dcb0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008dcc0: 2d41 552d 3228 6129 0a20 202d 204e 4953  -AU-2(a).  - NIS
│ │ │ -0008dcd0: 542d 3830 302d 3533 2d41 552d 3728 3129  T-800-53-AU-7(1)
│ │ │ -0008dce0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008dcf0: 2d41 552d 3728 3229 0a20 202d 204e 4953  -AU-7(2).  - NIS
│ │ │ -0008dd00: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0008dd10: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0008dd20: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -0008dd30: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -0008dd40: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -0008dd50: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -0008dd60: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -0008dd70: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -0008dd80: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -0008dd90: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -0008dda0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0008ddb0: 0a20 202d 2070 6163 6b61 6765 5f61 7564  .  - package_aud
│ │ │ -0008ddc0: 6974 5f69 6e73 7461 6c6c 6564 0a0a 2d20  it_installed..- 
│ │ │ -0008ddd0: 6e61 6d65 3a20 456e 7375 7265 2061 7564  name: Ensure aud
│ │ │ -0008dde0: 6974 6420 6973 2069 6e73 7461 6c6c 6564  itd is installed
│ │ │ -0008ddf0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -0008de00: 6e61 6d65 3a20 6175 6469 7464 0a20 2020  name: auditd.   
│ │ │ -0008de10: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0008de20: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0008de30: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0008de40: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0008de50: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0008de60: 542d 3830 302d 3533 2d41 432d 3728 6129  T-800-53-AC-7(a)
│ │ │ -0008de70: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008de80: 2d41 552d 3132 2832 290a 2020 2d20 4e49  -AU-12(2).  - NI
│ │ │ -0008de90: 5354 2d38 3030 2d35 332d 4155 2d31 340a  ST-800-53-AU-14.
│ │ │ -0008dea0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008deb0: 4155 2d32 2861 290a 2020 2d20 4e49 5354  AU-2(a).  - NIST
│ │ │ -0008dec0: 2d38 3030 2d35 332d 4155 2d37 2831 290a  -800-53-AU-7(1).
│ │ │ -0008ded0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008dee0: 4155 2d37 2832 290a 2020 2d20 4e49 5354  AU-7(2).  - NIST
│ │ │ -0008def0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0008df00: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -0008df10: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ -0008df20: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ -0008df30: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ -0008df40: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0008df50: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0008df60: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0008df70: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -0008df80: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -0008df90: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0008dfa0: 2020 2d20 7061 636b 6167 655f 6175 6469    - package_audi
│ │ │ -0008dfb0: 745f 696e 7374 616c 6c65 640a 3c2f 636f  t_installed.</co
│ │ │ -0008dfc0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0008dfd0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0008dfe0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0008dff0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0008e000: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0008e010: 646d 3133 3431 3222 2074 6162 696e 6465  dm13412" tabinde
│ │ │ -0008e020: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0008e030: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0008e040: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0008e050: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0008e060: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0008e070: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -0008e080: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -0008e090: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0008e0a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0008e0b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0008e0c0: 3334 3132 223e 3c74 6162 6c65 2063 6c61  3412"><table cla
│ │ │ -0008e0d0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0008e0e0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0008e0f0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0008e100: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0008e110: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0008e120: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0008e130: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0008e140: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0008e150: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0008e160: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0008e170: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0008e180: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0008e190: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0008e1a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0008e1b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ -0008e1c0: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ -0008e1d0: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ -0008e1e0: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ -0008e1f0: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ -0008e200: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ -0008e210: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ -0008e220: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ -0008e230: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ -0008e240: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ -0008e250: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ -0008e260: 6865 6e0a 0a44 4542 4941 4e5f 4652 4f4e  hen..DEBIAN_FRON
│ │ │ -0008e270: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -0008e280: 6976 6520 6170 742d 6765 7420 696e 7374  ive apt-get inst
│ │ │ -0008e290: 616c 6c20 2d79 2022 6175 6469 7464 220a  all -y "auditd".
│ │ │ -0008e2a0: 0a65 6c73 650a 2020 2020 2667 743b 2661  .else.    &gt;&a
│ │ │ -0008e2b0: 6d70 3b32 2065 6368 6f20 2752 656d 6564  mp;2 echo 'Remed
│ │ │ -0008e2c0: 6961 7469 6f6e 2069 7320 6e6f 7420 6170  iation is not ap
│ │ │ -0008e2d0: 706c 6963 6162 6c65 2c20 6e6f 7468 696e  plicable, nothin
│ │ │ -0008e2e0: 6720 7761 7320 646f 6e65 270a 6669 0a3c  g was done'.fi.<
│ │ │ +0008d710: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +0008d720: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +0008d730: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0008d740: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0008d750: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0008d760: 2269 646d 3133 3430 3922 3e3c 7461 626c  "idm13409"><tabl
│ │ │ +0008d770: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0008d780: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0008d790: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0008d7a0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0008d7b0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0008d7c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0008d7d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0008d7e0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0008d7f0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0008d800: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0008d810: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0008d820: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0008d830: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0008d840: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +0008d850: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0008d860: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +0008d870: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +0008d880: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +0008d890: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +0008d8a0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +0008d8b0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008d8c0: 432d 3728 6129 0a20 202d 204e 4953 542d  C-7(a).  - NIST-
│ │ │ +0008d8d0: 3830 302d 3533 2d41 552d 3132 2832 290a  800-53-AU-12(2).
│ │ │ +0008d8e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008d8f0: 4155 2d31 340a 2020 2d20 4e49 5354 2d38  AU-14.  - NIST-8
│ │ │ +0008d900: 3030 2d35 332d 4155 2d32 2861 290a 2020  00-53-AU-2(a).  
│ │ │ +0008d910: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +0008d920: 2d37 2831 290a 2020 2d20 4e49 5354 2d38  -7(1).  - NIST-8
│ │ │ +0008d930: 3030 2d35 332d 4155 2d37 2832 290a 2020  00-53-AU-7(2).  
│ │ │ +0008d940: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0008d950: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +0008d960: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ +0008d970: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ +0008d980: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +0008d990: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +0008d9a0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +0008d9b0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0008d9c0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0008d9d0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +0008d9e0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0008d9f0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0008da00: 655f 6175 6469 745f 696e 7374 616c 6c65  e_audit_installe
│ │ │ +0008da10: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0008da20: 6520 6175 6469 7464 2069 7320 696e 7374  e auditd is inst
│ │ │ +0008da30: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +0008da40: 0a20 2020 206e 616d 653a 2061 7564 6974  .    name: audit
│ │ │ +0008da50: 640a 2020 2020 7374 6174 653a 2070 7265  d.    state: pre
│ │ │ +0008da60: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ +0008da70: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +0008da80: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +0008da90: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +0008daa0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +0008dab0: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +0008dac0: 3030 2d35 332d 4155 2d31 3228 3229 0a20  00-53-AU-12(2). 
│ │ │ +0008dad0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008dae0: 552d 3134 0a20 202d 204e 4953 542d 3830  U-14.  - NIST-80
│ │ │ +0008daf0: 302d 3533 2d41 552d 3228 6129 0a20 202d  0-53-AU-2(a).  -
│ │ │ +0008db00: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008db10: 3728 3129 0a20 202d 204e 4953 542d 3830  7(1).  - NIST-80
│ │ │ +0008db20: 302d 3533 2d41 552d 3728 3229 0a20 202d  0-53-AU-7(2).  -
│ │ │ +0008db30: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0008db40: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +0008db50: 2d52 6571 2d31 302e 310a 2020 2d20 5043  -Req-10.1.  - PC
│ │ │ +0008db60: 492d 4453 5376 342d 3130 2e32 0a20 202d  I-DSSv4-10.2.  -
│ │ │ +0008db70: 2050 4349 2d44 5353 7634 2d31 302e 322e   PCI-DSSv4-10.2.
│ │ │ +0008db80: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ +0008db90: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0008dba0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0008dbb0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0008dbc0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0008dbd0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0008dbe0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +0008dbf0: 5f61 7564 6974 5f69 6e73 7461 6c6c 6564  _audit_installed
│ │ │ +0008dc00: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0008dc10: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0008dc20: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0008dc30: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0008dc40: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0008dc50: 743d 2223 6964 6d31 3334 3130 2220 7461  t="#idm13410" ta
│ │ │ +0008dc60: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0008dc70: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0008dc80: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0008dc90: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0008dca0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0008dcb0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0008dcc0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ +0008dcd0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0008dce0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0008dcf0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0008dd00: 2269 646d 3133 3431 3022 3e3c 7461 626c  "idm13410"><tabl
│ │ │ +0008dd10: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0008dd20: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0008dd30: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0008dd40: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0008dd50: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0008dd60: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0008dd70: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0008dd80: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0008dd90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0008dda0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0008ddb0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0008ddc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0008ddd0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0008dde0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +0008ddf0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0008de00: 6465 3e23 2052 656d 6564 6961 7469 6f6e  de># Remediation
│ │ │ +0008de10: 2069 7320 6170 706c 6963 6162 6c65 206f   is applicable o
│ │ │ +0008de20: 6e6c 7920 696e 2063 6572 7461 696e 2070  nly in certain p
│ │ │ +0008de30: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67  latforms.if dpkg
│ │ │ +0008de40: 2d71 7565 7279 202d 2d73 686f 7720 2d2d  -query --show --
│ │ │ +0008de50: 7368 6f77 666f 726d 6174 3d27 247b 6462  showformat='${db
│ │ │ +0008de60: 3a53 7461 7475 732d 5374 6174 7573 7d0a  :Status-Status}.
│ │ │ +0008de70: 2720 276c 696e 7578 2d62 6173 6527 2032  ' 'linux-base' 2
│ │ │ +0008de80: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20  &gt;/dev/null | 
│ │ │ +0008de90: 6772 6570 202d 7120 5e69 6e73 7461 6c6c  grep -q ^install
│ │ │ +0008dea0: 6564 3b20 7468 656e 0a0a 4445 4249 414e  ed; then..DEBIAN
│ │ │ +0008deb0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ +0008dec0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ +0008ded0: 2069 6e73 7461 6c6c 202d 7920 2261 7564   install -y "aud
│ │ │ +0008dee0: 6974 6422 0a0a 656c 7365 0a20 2020 2026  itd"..else.    &
│ │ │ +0008def0: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ +0008df00: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ +0008df10: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ +0008df20: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ +0008df30: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +0008df40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0008df50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0008df60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0008df70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0008df80: 7267 6574 3d22 2369 646d 3133 3431 3122  rget="#idm13411"
│ │ │ +0008df90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0008dfa0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0008dfb0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0008dfc0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0008dfd0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0008dfe0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0008dff0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +0008e000: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +0008e010: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0008e020: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0008e030: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0008e040: 2269 646d 3133 3431 3122 3e3c 7072 653e  "idm13411"><pre>
│ │ │ +0008e050: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +0008e060: 735d 5d0a 6e61 6d65 203d 2022 6175 6469  s]].name = "audi
│ │ │ +0008e070: 7464 220a 7665 7273 696f 6e20 3d20 222a  td".version = "*
│ │ │ +0008e080: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +0008e090: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0008e0a0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0008e0b0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0008e0c0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0008e0d0: 6574 3d22 2369 646d 3133 3431 3222 2074  et="#idm13412" t
│ │ │ +0008e0e0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0008e0f0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0008e100: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0008e110: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0008e120: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0008e130: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0008e140: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +0008e150: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0008e160: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0008e170: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0008e180: 6964 3d22 6964 6d31 3334 3132 223e 3c74  id="idm13412"><t
│ │ │ +0008e190: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0008e1a0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0008e1b0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0008e1c0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0008e1d0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0008e1e0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0008e1f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0008e200: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0008e210: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0008e220: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0008e230: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0008e240: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0008e250: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0008e260: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0008e270: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0008e280: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +0008e290: 7374 616c 6c5f 6175 6469 7464 0a0a 636c  stall_auditd..cl
│ │ │ +0008e2a0: 6173 7320 696e 7374 616c 6c5f 6175 6469  ass install_audi
│ │ │ +0008e2b0: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ +0008e2c0: 2027 6175 6469 7464 273a 0a20 2020 2065   'auditd':.    e
│ │ │ +0008e2d0: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +0008e2e0: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │  0008e2f0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0008e300: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0008e310: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0008e320: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0008e330: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  0008e340: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0008e350: 2e63 6f6e 7465 6e74 5f72 756c 655f 7365  .content_rule_se
│ │ │ @@ -36811,190 +36811,190 @@
│ │ │  0008fca0: 6765 743d 2223 6964 6d31 3336 3130 2220  get="#idm13610" 
│ │ │  0008fcb0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0008fcc0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  0008fcd0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  0008fce0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  0008fcf0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  0008fd00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0008fd10: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -0008fd20: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -0008fd30: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0008fd40: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0008fd50: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0008fd60: 6964 6d31 3336 3130 223e 3c70 7265 3e3c  idm13610"><pre><
│ │ │ -0008fd70: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ -0008fd80: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ -0008fd90: 656e 6162 6c65 6420 3d20 5b22 6175 6469  enabled = ["audi
│ │ │ -0008fda0: 7464 225d 0a3c 2f63 6f64 653e 3c2f 7072  td"].</code></pr
│ │ │ -0008fdb0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -0008fdc0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -0008fdd0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -0008fde0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -0008fdf0: 6172 6765 743d 2223 6964 6d31 3336 3131  arget="#idm13611
│ │ │ -0008fe00: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -0008fe10: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -0008fe20: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -0008fe30: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -0008fe40: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -0008fe50: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0008fe60: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -0008fe70: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0008fe80: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0008fe90: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0008fea0: 6522 2069 643d 2269 646d 3133 3631 3122  e" id="idm13611"
│ │ │ -0008feb0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0008fec0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0008fed0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0008fee0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0008fef0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0008ff00: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0008ff10: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0008ff20: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0008ff30: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0008ff40: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0008ff50: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0008ff60: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0008ff70: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0008ff80: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0008ff90: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0008ffa0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -0008ffb0: 2065 6e61 626c 655f 6175 6469 7464 0a0a   enable_auditd..
│ │ │ -0008ffc0: 636c 6173 7320 656e 6162 6c65 5f61 7564  class enable_aud
│ │ │ -0008ffd0: 6974 6420 7b0a 2020 7365 7276 6963 6520  itd {.  service 
│ │ │ -0008ffe0: 7b27 6175 6469 7464 273a 0a20 2020 2065  {'auditd':.    e
│ │ │ -0008fff0: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ -00090000: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ -00090010: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ -00090020: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00090030: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00090040: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00090050: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00090060: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00090070: 7267 6574 3d22 2369 646d 3133 3631 3222  rget="#idm13612"
│ │ │ -00090080: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00090090: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000900a0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000900b0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000900c0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -000900d0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000900e0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -000900f0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00090100: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00090110: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00090120: 6522 2069 643d 2269 646d 3133 3631 3222  e" id="idm13612"
│ │ │ -00090130: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00090140: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00090150: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00090160: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00090170: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00090180: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00090190: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000901a0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -000901b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000901c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -000901d0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -000901e0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000901f0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00090200: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00090210: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00090220: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00090230: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00090240: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00090250: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00090260: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00090270: 6167 733a 0a20 202d 2043 4a49 532d 352e  ags:.  - CJIS-5.
│ │ │ -00090280: 342e 312e 310a 2020 2d20 4e49 5354 2d38  4.1.1.  - NIST-8
│ │ │ -00090290: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d  00-171-3.3.1.  -
│ │ │ -000902a0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -000902b0: 332e 320a 2020 2d20 4e49 5354 2d38 3030  3.2.  - NIST-800
│ │ │ -000902c0: 2d31 3731 2d33 2e33 2e36 0a20 202d 204e  -171-3.3.6.  - N
│ │ │ -000902d0: 4953 542d 3830 302d 3533 2d41 432d 3228  IST-800-53-AC-2(
│ │ │ -000902e0: 6729 0a20 202d 204e 4953 542d 3830 302d  g).  - NIST-800-
│ │ │ -000902f0: 3533 2d41 432d 3628 3929 0a20 202d 204e  53-AC-6(9).  - N
│ │ │ -00090300: 4953 542d 3830 302d 3533 2d41 552d 3130  IST-800-53-AU-10
│ │ │ -00090310: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00090320: 2d41 552d 3132 2863 290a 2020 2d20 4e49  -AU-12(c).  - NI
│ │ │ -00090330: 5354 2d38 3030 2d35 332d 4155 2d31 3428  ST-800-53-AU-14(
│ │ │ -00090340: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -00090350: 3533 2d41 552d 3228 6429 0a20 202d 204e  53-AU-2(d).  - N
│ │ │ -00090360: 4953 542d 3830 302d 3533 2d41 552d 330a  IST-800-53-AU-3.
│ │ │ -00090370: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00090380: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ -00090390: 2d38 3030 2d35 332d 5349 2d34 2832 3329  -800-53-SI-4(23)
│ │ │ -000903a0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -000903b0: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -000903c0: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -000903d0: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -000903e0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -000903f0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00090400: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00090410: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00090420: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00090430: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00090440: 0a20 202d 2073 6572 7669 6365 5f61 7564  .  - service_aud
│ │ │ -00090450: 6974 645f 656e 6162 6c65 640a 0a2d 206e  itd_enabled..- n
│ │ │ -00090460: 616d 653a 2045 6e61 626c 6520 6175 6469  ame: Enable audi
│ │ │ -00090470: 7464 2053 6572 7669 6365 202d 2045 6e61  td Service - Ena
│ │ │ -00090480: 626c 6520 7365 7276 6963 6520 6175 6469  ble service audi
│ │ │ -00090490: 7464 0a20 2062 6c6f 636b 3a0a 0a20 202d  td.  block:..  -
│ │ │ -000904a0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -000904b0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -000904c0: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ -000904d0: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ -000904e0: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ -000904f0: 3a20 456e 6162 6c65 2061 7564 6974 6420  : Enable auditd 
│ │ │ -00090500: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -00090510: 2053 6572 7669 6365 2061 7564 6974 640a   Service auditd.
│ │ │ -00090520: 2020 2020 616e 7369 626c 652e 6275 696c      ansible.buil
│ │ │ -00090530: 7469 6e2e 7379 7374 656d 643a 0a20 2020  tin.systemd:.   
│ │ │ -00090540: 2020 206e 616d 653a 2061 7564 6974 640a     name: auditd.
│ │ │ -00090550: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ -00090560: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ -00090570: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ -00090580: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ -00090590: 2077 6865 6e3a 0a20 2020 202d 2027 2261   when:.    - '"a
│ │ │ -000905a0: 7564 6974 6422 2069 6e20 616e 7369 626c  uditd" in ansibl
│ │ │ -000905b0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -000905c0: 270a 2020 7768 656e 3a0a 2020 2d20 2722  '.  when:.  - '"
│ │ │ -000905d0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -000905e0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -000905f0: 6b61 6765 7327 0a20 202d 2027 2261 7564  kages'.  - '"aud
│ │ │ -00090600: 6974 6422 2069 6e20 616e 7369 626c 655f  itd" in ansible_
│ │ │ -00090610: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -00090620: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ -00090630: 2d35 2e34 2e31 2e31 0a20 202d 204e 4953  -5.4.1.1.  - NIS
│ │ │ -00090640: 542d 3830 302d 3137 312d 332e 332e 310a  T-800-171-3.3.1.
│ │ │ -00090650: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -00090660: 2d33 2e33 2e32 0a20 202d 204e 4953 542d  -3.3.2.  - NIST-
│ │ │ -00090670: 3830 302d 3137 312d 332e 332e 360a 2020  800-171-3.3.6.  
│ │ │ -00090680: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ -00090690: 2d32 2867 290a 2020 2d20 4e49 5354 2d38  -2(g).  - NIST-8
│ │ │ -000906a0: 3030 2d35 332d 4143 2d36 2839 290a 2020  00-53-AC-6(9).  
│ │ │ -000906b0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -000906c0: 2d31 300a 2020 2d20 4e49 5354 2d38 3030  -10.  - NIST-800
│ │ │ -000906d0: 2d35 332d 4155 2d31 3228 6329 0a20 202d  -53-AU-12(c).  -
│ │ │ -000906e0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -000906f0: 3134 2831 290a 2020 2d20 4e49 5354 2d38  14(1).  - NIST-8
│ │ │ -00090700: 3030 2d35 332d 4155 2d32 2864 290a 2020  00-53-AU-2(d).  
│ │ │ -00090710: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00090720: 2d33 0a20 202d 204e 4953 542d 3830 302d  -3.  - NIST-800-
│ │ │ -00090730: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00090740: 4953 542d 3830 302d 3533 2d53 492d 3428  IST-800-53-SI-4(
│ │ │ -00090750: 3233 290a 2020 2d20 5043 492d 4453 532d  23).  - PCI-DSS-
│ │ │ -00090760: 5265 712d 3130 2e31 0a20 202d 2050 4349  Req-10.1.  - PCI
│ │ │ -00090770: 2d44 5353 7634 2d31 302e 320a 2020 2d20  -DSSv4-10.2.  - 
│ │ │ -00090780: 5043 492d 4453 5376 342d 3130 2e32 2e31  PCI-DSSv4-10.2.1
│ │ │ -00090790: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -000907a0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -000907b0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -000907c0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -000907d0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -000907e0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -000907f0: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -00090800: 6175 6469 7464 5f65 6e61 626c 6564 0a3c  auditd_enabled.<
│ │ │ +0008fd10: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +0008fd20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0008fd30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0008fd40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0008fd50: 2220 6964 3d22 6964 6d31 3336 3130 223e  " id="idm13610">
│ │ │ +0008fd60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0008fd70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0008fd80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0008fd90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0008fda0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0008fdb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0008fdc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0008fdd0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0008fde0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0008fdf0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0008fe00: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0008fe10: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0008fe20: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0008fe30: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0008fe40: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0008fe50: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +0008fe60: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +0008fe70: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +0008fe80: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +0008fe90: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +0008fea0: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34  gs:.  - CJIS-5.4
│ │ │ +0008feb0: 2e31 2e31 0a20 202d 204e 4953 542d 3830  .1.1.  - NIST-80
│ │ │ +0008fec0: 302d 3137 312d 332e 332e 310a 2020 2d20  0-171-3.3.1.  - 
│ │ │ +0008fed0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ +0008fee0: 2e32 0a20 202d 204e 4953 542d 3830 302d  .2.  - NIST-800-
│ │ │ +0008fef0: 3137 312d 332e 332e 360a 2020 2d20 4e49  171-3.3.6.  - NI
│ │ │ +0008ff00: 5354 2d38 3030 2d35 332d 4143 2d32 2867  ST-800-53-AC-2(g
│ │ │ +0008ff10: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0008ff20: 332d 4143 2d36 2839 290a 2020 2d20 4e49  3-AC-6(9).  - NI
│ │ │ +0008ff30: 5354 2d38 3030 2d35 332d 4155 2d31 300a  ST-800-53-AU-10.
│ │ │ +0008ff40: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008ff50: 4155 2d31 3228 6329 0a20 202d 204e 4953  AU-12(c).  - NIS
│ │ │ +0008ff60: 542d 3830 302d 3533 2d41 552d 3134 2831  T-800-53-AU-14(1
│ │ │ +0008ff70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0008ff80: 332d 4155 2d32 2864 290a 2020 2d20 4e49  3-AU-2(d).  - NI
│ │ │ +0008ff90: 5354 2d38 3030 2d35 332d 4155 2d33 0a20  ST-800-53-AU-3. 
│ │ │ +0008ffa0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0008ffb0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +0008ffc0: 3830 302d 3533 2d53 492d 3428 3233 290a  800-53-SI-4(23).
│ │ │ +0008ffd0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +0008ffe0: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ +0008fff0: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ +00090000: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ +00090010: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00090020: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00090030: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00090040: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00090050: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00090060: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00090070: 2020 2d20 7365 7276 6963 655f 6175 6469    - service_audi
│ │ │ +00090080: 7464 5f65 6e61 626c 6564 0a0a 2d20 6e61  td_enabled..- na
│ │ │ +00090090: 6d65 3a20 456e 6162 6c65 2061 7564 6974  me: Enable audit
│ │ │ +000900a0: 6420 5365 7276 6963 6520 2d20 456e 6162  d Service - Enab
│ │ │ +000900b0: 6c65 2073 6572 7669 6365 2061 7564 6974  le service audit
│ │ │ +000900c0: 640a 2020 626c 6f63 6b3a 0a0a 2020 2d20  d.  block:..  - 
│ │ │ +000900d0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +000900e0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +000900f0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +00090100: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +00090110: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +00090120: 2045 6e61 626c 6520 6175 6469 7464 2053   Enable auditd S
│ │ │ +00090130: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +00090140: 5365 7276 6963 6520 6175 6469 7464 0a20  Service auditd. 
│ │ │ +00090150: 2020 2061 6e73 6962 6c65 2e62 7569 6c74     ansible.built
│ │ │ +00090160: 696e 2e73 7973 7465 6d64 3a0a 2020 2020  in.systemd:.    
│ │ │ +00090170: 2020 6e61 6d65 3a20 6175 6469 7464 0a20    name: auditd. 
│ │ │ +00090180: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ +00090190: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ +000901a0: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ +000901b0: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ +000901c0: 7768 656e 3a0a 2020 2020 2d20 2722 6175  when:.    - '"au
│ │ │ +000901d0: 6469 7464 2220 696e 2061 6e73 6962 6c65  ditd" in ansible
│ │ │ +000901e0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +000901f0: 0a20 2077 6865 6e3a 0a20 202d 2027 226c  .  when:.  - '"l
│ │ │ +00090200: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +00090210: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00090220: 6167 6573 270a 2020 2d20 2722 6175 6469  ages'.  - '"audi
│ │ │ +00090230: 7464 2220 696e 2061 6e73 6962 6c65 5f66  td" in ansible_f
│ │ │ +00090240: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00090250: 2074 6167 733a 0a20 202d 2043 4a49 532d   tags:.  - CJIS-
│ │ │ +00090260: 352e 342e 312e 310a 2020 2d20 4e49 5354  5.4.1.1.  - NIST
│ │ │ +00090270: 2d38 3030 2d31 3731 2d33 2e33 2e31 0a20  -800-171-3.3.1. 
│ │ │ +00090280: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00090290: 332e 332e 320a 2020 2d20 4e49 5354 2d38  3.3.2.  - NIST-8
│ │ │ +000902a0: 3030 2d31 3731 2d33 2e33 2e36 0a20 202d  00-171-3.3.6.  -
│ │ │ +000902b0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +000902c0: 3228 6729 0a20 202d 204e 4953 542d 3830  2(g).  - NIST-80
│ │ │ +000902d0: 302d 3533 2d41 432d 3628 3929 0a20 202d  0-53-AC-6(9).  -
│ │ │ +000902e0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +000902f0: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ +00090300: 3533 2d41 552d 3132 2863 290a 2020 2d20  53-AU-12(c).  - 
│ │ │ +00090310: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +00090320: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ +00090330: 302d 3533 2d41 552d 3228 6429 0a20 202d  0-53-AU-2(d).  -
│ │ │ +00090340: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00090350: 330a 2020 2d20 4e49 5354 2d38 3030 2d35  3.  - NIST-800-5
│ │ │ +00090360: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ +00090370: 5354 2d38 3030 2d35 332d 5349 2d34 2832  ST-800-53-SI-4(2
│ │ │ +00090380: 3329 0a20 202d 2050 4349 2d44 5353 2d52  3).  - PCI-DSS-R
│ │ │ +00090390: 6571 2d31 302e 310a 2020 2d20 5043 492d  eq-10.1.  - PCI-
│ │ │ +000903a0: 4453 5376 342d 3130 2e32 0a20 202d 2050  DSSv4-10.2.  - P
│ │ │ +000903b0: 4349 2d44 5353 7634 2d31 302e 322e 310a  CI-DSSv4-10.2.1.
│ │ │ +000903c0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +000903d0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +000903e0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000903f0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00090400: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00090410: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00090420: 6564 0a20 202d 2073 6572 7669 6365 5f61  ed.  - service_a
│ │ │ +00090430: 7564 6974 645f 656e 6162 6c65 640a 3c2f  uditd_enabled.</
│ │ │ +00090440: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00090450: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00090460: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00090470: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00090480: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00090490: 2369 646d 3133 3631 3122 2074 6162 696e  #idm13611" tabin
│ │ │ +000904a0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000904b0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000904c0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000904d0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000904e0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000904f0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00090500: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00090510: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00090520: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00090530: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00090540: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ +00090550: 3631 3122 3e3c 7072 653e 3c63 6f64 653e  611"><pre><code>
│ │ │ +00090560: 0a5b 6375 7374 6f6d 697a 6174 696f 6e73  .[customizations
│ │ │ +00090570: 2e73 6572 7669 6365 735d 0a65 6e61 626c  .services].enabl
│ │ │ +00090580: 6564 203d 205b 2261 7564 6974 6422 5d0a  ed = ["auditd"].
│ │ │ +00090590: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000905a0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000905b0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000905c0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +000905d0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000905e0: 3d22 2369 646d 3133 3631 3222 2074 6162  ="#idm13612" tab
│ │ │ +000905f0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00090600: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00090610: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00090620: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00090630: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00090640: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00090650: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00090660: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00090670: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00090680: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00090690: 3d22 6964 6d31 3336 3132 223e 3c74 6162  ="idm13612"><tab
│ │ │ +000906a0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +000906b0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +000906c0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +000906d0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +000906e0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +000906f0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00090700: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00090710: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00090720: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00090730: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00090740: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00090750: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00090760: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00090770: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00090780: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00090790: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ +000907a0: 6c65 5f61 7564 6974 640a 0a63 6c61 7373  le_auditd..class
│ │ │ +000907b0: 2065 6e61 626c 655f 6175 6469 7464 207b   enable_auditd {
│ │ │ +000907c0: 0a20 2073 6572 7669 6365 207b 2761 7564  .  service {'aud
│ │ │ +000907d0: 6974 6427 3a0a 2020 2020 656e 6162 6c65  itd':.    enable
│ │ │ +000907e0: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ +000907f0: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ +00090800: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │  00090810: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00090820: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  00090830: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  00090840: 653e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  e></td></tr></tb
│ │ │  00090850: 6f64 793e 3c2f 7461 626c 653e 3c2f 6469  ody></table></di
│ │ │  00090860: 763e 3c64 6976 2069 643d 2272 6561 722d  v><div id="rear-
│ │ │  00090870: 6d61 7474 6572 223e 3c64 6976 2063 6c61  matter"><div cla
│ │ │ ├── html2text {}
│ │ │ │ @@ -1818,31 +1818,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1879,14 +1862,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ssyysslloogg--nngg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The syslog-ng service (in replacement of rsyslog) provides syslog-style logging
│ │ │ │  by default on Debian. The syslog-ng service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable syslog-ng.service
│ │ │ │  Rationale:  The syslog-ng service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │ @@ -1902,31 +1902,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1962,14 +1945,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1982,31 +1982,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2043,14 +2026,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 11. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2067,31 +2067,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2127,14 +2110,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3938,31 +3938,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4003,14 +3986,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Deprecated services   Group contains 5 rules
│ │ │ │  _[_r_e_f_]   Some deprecated software services impact the overall system security
│ │ │ │  due to their behavior (leak of confidentiality in network exchange, usage as
│ │ │ │  uncontrolled communication channel, risk associated with the service due to its
│ │ │ │  old age, etc.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee iinneett--bbaasseedd tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The inet-based telnet daemon should be uninstalled.
│ │ │ │ @@ -4034,26 +4034,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4078,33 +4066,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4126,34 +4114,34 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ -uninstalled.
│ │ │ │ -           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ -Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ -           cryptographic mechanisms integrated in NTP.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ +include remove_nis
│ │ │ │  
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ +uninstalled.
│ │ │ │ +           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ +Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ +           cryptographic mechanisms integrated in NTP.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4175,14 +4163,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -4200,26 +4200,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4244,14 +4232,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -4270,26 +4270,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4314,14 +4302,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a
│ │ │ │  network. Computer clocks are not very accurate, so time will drift
│ │ │ │  unpredictably on unmanaged systems. Central time protocols can be used both to
│ │ │ │  ensure that time is consistent among a network of systems, and that their time
│ │ │ │  is consistent with the outside world.
│ │ │ │  
│ │ │ │ @@ -4383,31 +4383,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4446,14 +4429,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee tthhee NNTTPP DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ntp service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable ntp.service
│ │ │ │              Enabling the ntp service ensures that the ntp service will be
│ │ │ │              running and that the system will synchronize its time to any
│ │ │ │              servers specified. This is important whether the system is
│ │ │ │              configured to be a client (and synchronize only its own clock) or
│ │ │ │ @@ -4473,31 +4473,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4541,14 +4524,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5431,31 +5431,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5510,14 +5493,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing
│ │ │ │  System, as it is responsible for writing audit records to disk. The auditd
│ │ │ │  service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be
│ │ │ │              difficult to establish, correlate, and investigate the events
│ │ │ │ @@ -5579,31 +5579,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5669,11 +5652,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-standard.html
│ │ │ @@ -19787,179 +19787,179 @@
│ │ │  0004d4a0: 612d 7461 7267 6574 3d22 2369 646d 3438  a-target="#idm48
│ │ │  0004d4b0: 3337 2220 7461 6269 6e64 6578 3d22 3022  37" tabindex="0"
│ │ │  0004d4c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0004d4d0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0004d4e0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0004d4f0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0004d500: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0004d510: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -0004d520: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -0004d530: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0004d540: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0004d550: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0004d560: 6964 3d22 6964 6d34 3833 3722 3e3c 7072  id="idm4837"><pr
│ │ │ -0004d570: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ -0004d580: 6765 735d 5d0a 6e61 6d65 203d 2022 7273  ges]].name = "rs
│ │ │ -0004d590: 7973 6c6f 6722 0a76 6572 7369 6f6e 203d  yslog".version =
│ │ │ -0004d5a0: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │ -0004d5b0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -0004d5c0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -0004d5d0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -0004d5e0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -0004d5f0: 6172 6765 743d 2223 6964 6d34 3833 3822  arget="#idm4838"
│ │ │ -0004d600: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0004d610: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0004d620: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0004d630: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0004d640: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0004d650: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0004d660: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0004d670: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0004d680: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0004d690: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0004d6a0: 2220 6964 3d22 6964 6d34 3833 3822 3e3c  " id="idm4838"><
│ │ │ -0004d6b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0004d6c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0004d6d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0004d6e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0004d6f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0004d700: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0004d710: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0004d720: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0004d730: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0004d740: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0004d750: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0004d760: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0004d770: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0004d780: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0004d790: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0004d7a0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ -0004d7b0: 6e73 7461 6c6c 5f72 7379 736c 6f67 0a0a  nstall_rsyslog..
│ │ │ -0004d7c0: 636c 6173 7320 696e 7374 616c 6c5f 7273  class install_rs
│ │ │ -0004d7d0: 7973 6c6f 6720 7b0a 2020 7061 636b 6167  yslog {.  packag
│ │ │ -0004d7e0: 6520 7b20 2772 7379 736c 6f67 273a 0a20  e { 'rsyslog':. 
│ │ │ -0004d7f0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -0004d800: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ -0004d810: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0004d820: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0004d830: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0004d840: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0004d850: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0004d860: 6765 743d 2223 6964 6d34 3833 3922 2074  get="#idm4839" t
│ │ │ -0004d870: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0004d880: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0004d890: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0004d8a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0004d8b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0004d8c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0004d8d0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0004d8e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0004d8f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0004d900: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0004d910: 2069 643d 2269 646d 3438 3339 223e 3c74   id="idm4839"><t
│ │ │ -0004d920: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0004d930: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0004d940: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0004d950: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0004d960: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0004d970: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0004d980: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0004d990: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0004d9a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0004d9b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0004d9c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0004d9d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0004d9e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0004d9f0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0004da00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0004da10: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -0004da20: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -0004da30: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -0004da40: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -0004da50: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -0004da60: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0004da70: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -0004da80: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -0004da90: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -0004daa0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -0004dab0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -0004dac0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -0004dad0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -0004dae0: 2070 6163 6b61 6765 5f72 7379 736c 6f67   package_rsyslog
│ │ │ -0004daf0: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -0004db00: 6d65 3a20 456e 7375 7265 2072 7379 736c  me: Ensure rsysl
│ │ │ -0004db10: 6f67 2069 7320 696e 7374 616c 6c65 640a  og is installed.
│ │ │ -0004db20: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -0004db30: 616d 653a 2072 7379 736c 6f67 0a20 2020  ame: rsyslog.   
│ │ │ -0004db40: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0004db50: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0004db60: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0004db70: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0004db80: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0004db90: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0004dba0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -0004dbb0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -0004dbc0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0004dbd0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -0004dbe0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -0004dbf0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0004dc00: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0004dc10: 7273 7973 6c6f 675f 696e 7374 616c 6c65  rsyslog_installe
│ │ │ -0004dc20: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -0004dc30: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0004dc40: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0004dc50: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0004dc60: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0004dc70: 6574 3d22 2369 646d 3438 3430 2220 7461  et="#idm4840" ta
│ │ │ -0004dc80: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0004dc90: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0004dca0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0004dcb0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0004dcc0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0004dcd0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0004dce0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -0004dcf0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0004dd00: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0004dd10: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0004dd20: 2269 646d 3438 3430 223e 3c74 6162 6c65  "idm4840"><table
│ │ │ -0004dd30: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0004dd40: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0004dd50: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0004dd60: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0004dd70: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0004dd80: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0004dd90: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0004dda0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0004ddb0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0004ddc0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0004ddd0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0004dde0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0004ddf0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0004de00: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0004de10: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0004de20: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ -0004de30: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ -0004de40: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ -0004de50: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ -0004de60: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ -0004de70: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ -0004de80: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ -0004de90: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ -0004dea0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ -0004deb0: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ -0004dec0: 643b 2074 6865 6e0a 0a44 4542 4941 4e5f  d; then..DEBIAN_
│ │ │ -0004ded0: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -0004dee0: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -0004def0: 696e 7374 616c 6c20 2d79 2022 7273 7973  install -y "rsys
│ │ │ -0004df00: 6c6f 6722 0a0a 656c 7365 0a20 2020 2026  log"..else.    &
│ │ │ -0004df10: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ -0004df20: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ -0004df30: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ -0004df40: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ -0004df50: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +0004d510: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0004d520: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0004d530: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0004d540: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0004d550: 6170 7365 2220 6964 3d22 6964 6d34 3833  apse" id="idm483
│ │ │ +0004d560: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +0004d570: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0004d580: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0004d590: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0004d5a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0004d5b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0004d5c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0004d5d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0004d5e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0004d5f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0004d600: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0004d610: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0004d620: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0004d630: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0004d640: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0004d650: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +0004d660: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +0004d670: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +0004d680: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +0004d690: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +0004d6a0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +0004d6b0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +0004d6c0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +0004d6d0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +0004d6e0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +0004d6f0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +0004d700: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +0004d710: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +0004d720: 640a 2020 2d20 7061 636b 6167 655f 7273  d.  - package_rs
│ │ │ +0004d730: 7973 6c6f 675f 696e 7374 616c 6c65 640a  yslog_installed.
│ │ │ +0004d740: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ +0004d750: 7273 7973 6c6f 6720 6973 2069 6e73 7461  rsyslog is insta
│ │ │ +0004d760: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ +0004d770: 2020 2020 6e61 6d65 3a20 7273 7973 6c6f      name: rsyslo
│ │ │ +0004d780: 670a 2020 2020 7374 6174 653a 2070 7265  g.    state: pre
│ │ │ +0004d790: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ +0004d7a0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +0004d7b0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +0004d7c0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +0004d7d0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0004d7e0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0004d7f0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0004d800: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0004d810: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0004d820: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0004d830: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0004d840: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +0004d850: 6b61 6765 5f72 7379 736c 6f67 5f69 6e73  kage_rsyslog_ins
│ │ │ +0004d860: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +0004d870: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0004d880: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0004d890: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0004d8a0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0004d8b0: 2d74 6172 6765 743d 2223 6964 6d34 3833  -target="#idm483
│ │ │ +0004d8c0: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ +0004d8d0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +0004d8e0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +0004d8f0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +0004d900: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +0004d910: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +0004d920: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +0004d930: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0004d940: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0004d950: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0004d960: 2220 6964 3d22 6964 6d34 3833 3822 3e3c  " id="idm4838"><
│ │ │ +0004d970: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0004d980: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0004d990: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0004d9a0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0004d9b0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0004d9c0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0004d9d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0004d9e0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0004d9f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0004da00: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0004da10: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0004da20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0004da30: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0004da40: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0004da50: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0004da60: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ +0004da70: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ +0004da80: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ +0004da90: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ +0004daa0: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ +0004dab0: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ +0004dac0: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ +0004dad0: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ +0004dae0: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ +0004daf0: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ +0004db00: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ +0004db10: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +0004db20: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +0004db30: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ +0004db40: 2272 7379 736c 6f67 220a 0a65 6c73 650a  "rsyslog"..else.
│ │ │ +0004db50: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ +0004db60: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ +0004db70: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ +0004db80: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ +0004db90: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0004dba0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0004dbb0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0004dbc0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0004dbd0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0004dbe0: 7461 2d74 6172 6765 743d 2223 6964 6d34  ta-target="#idm4
│ │ │ +0004dbf0: 3833 3922 2074 6162 696e 6465 783d 2230  839" tabindex="0
│ │ │ +0004dc00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0004dc10: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0004dc20: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0004dc30: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0004dc40: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0004dc50: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +0004dc60: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +0004dc70: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0004dc80: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0004dc90: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0004dca0: 2069 643d 2269 646d 3438 3339 223e 3c70   id="idm4839"><p
│ │ │ +0004dcb0: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ +0004dcc0: 6167 6573 5d5d 0a6e 616d 6520 3d20 2272  ages]].name = "r
│ │ │ +0004dcd0: 7379 736c 6f67 220a 7665 7273 696f 6e20  syslog".version 
│ │ │ +0004dce0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ +0004dcf0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0004dd00: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0004dd10: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0004dd20: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0004dd30: 7461 7267 6574 3d22 2369 646d 3438 3430  target="#idm4840
│ │ │ +0004dd40: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0004dd50: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0004dd60: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0004dd70: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0004dd80: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0004dd90: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0004dda0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0004ddb0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0004ddc0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0004ddd0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0004dde0: 6522 2069 643d 2269 646d 3438 3430 223e  e" id="idm4840">
│ │ │ +0004ddf0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0004de00: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0004de10: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0004de20: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0004de30: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0004de40: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0004de50: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0004de60: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0004de70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0004de80: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0004de90: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0004dea0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0004deb0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0004dec0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0004ded0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0004dee0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +0004def0: 696e 7374 616c 6c5f 7273 7973 6c6f 670a  install_rsyslog.
│ │ │ +0004df00: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f72  .class install_r
│ │ │ +0004df10: 7379 736c 6f67 207b 0a20 2070 6163 6b61  syslog {.  packa
│ │ │ +0004df20: 6765 207b 2027 7273 7973 6c6f 6727 3a0a  ge { 'rsyslog':.
│ │ │ +0004df30: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +0004df40: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ +0004df50: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  0004df60: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  0004df70: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  0004df80: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  0004df90: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  0004dfa0: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  0004dfb0: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  0004dfc0: 6c65 5f73 6572 7669 6365 5f72 7379 736c  le_service_rsysl
│ │ │ @@ -20188,149 +20188,149 @@
│ │ │  0004edb0: 6765 743d 2223 6964 6d34 3932 3322 2074  get="#idm4923" t
│ │ │  0004edc0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0004edd0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0004ede0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0004edf0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0004ee00: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0004ee10: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0004ee20: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -0004ee30: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -0004ee40: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0004ee50: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0004ee60: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0004ee70: 646d 3439 3233 223e 3c70 7265 3e3c 636f  dm4923"><pre><co
│ │ │ -0004ee80: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -0004ee90: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -0004eea0: 6162 6c65 6420 3d20 5b22 7273 7973 6c6f  abled = ["rsyslo
│ │ │ -0004eeb0: 6722 5d0a 3c2f 636f 6465 3e3c 2f70 7265  g"].</code></pre
│ │ │ -0004eec0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0004eed0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0004eee0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0004eef0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0004ef00: 7267 6574 3d22 2369 646d 3439 3234 2220  rget="#idm4924" 
│ │ │ -0004ef10: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0004ef20: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0004ef30: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0004ef40: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0004ef50: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0004ef60: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0004ef70: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0004ef80: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0004ef90: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0004efa0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0004efb0: 2069 643d 2269 646d 3439 3234 223e 3c74   id="idm4924"><t
│ │ │ -0004efc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0004efd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0004efe0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0004eff0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0004f000: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0004f010: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0004f020: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0004f030: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0004f040: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0004f050: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0004f060: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0004f070: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0004f080: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0004f090: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0004f0a0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0004f0b0: 3c63 6f64 653e 696e 636c 7564 6520 656e  <code>include en
│ │ │ -0004f0c0: 6162 6c65 5f72 7379 736c 6f67 0a0a 636c  able_rsyslog..cl
│ │ │ -0004f0d0: 6173 7320 656e 6162 6c65 5f72 7379 736c  ass enable_rsysl
│ │ │ -0004f0e0: 6f67 207b 0a20 2073 6572 7669 6365 207b  og {.  service {
│ │ │ -0004f0f0: 2772 7379 736c 6f67 273a 0a20 2020 2065  'rsyslog':.    e
│ │ │ -0004f100: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ -0004f110: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ -0004f120: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ -0004f130: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0004f140: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0004f150: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0004f160: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0004f170: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0004f180: 7267 6574 3d22 2369 646d 3439 3235 2220  rget="#idm4925" 
│ │ │ -0004f190: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0004f1a0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0004f1b0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0004f1c0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0004f1d0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0004f1e0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0004f1f0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0004f200: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0004f210: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0004f220: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0004f230: 2220 6964 3d22 6964 6d34 3932 3522 3e3c  " id="idm4925"><
│ │ │ -0004f240: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0004f250: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0004f260: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0004f270: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0004f280: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0004f290: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0004f2a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0004f2b0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0004f2c0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0004f2d0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0004f2e0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0004f2f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0004f300: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0004f310: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0004f320: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0004f330: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0004f340: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0004f350: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0004f360: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0004f370: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0004f380: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0004f390: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -0004f3a0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0004f3b0: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0004f3c0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0004f3d0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0004f3e0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0004f3f0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0004f400: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0004f410: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0004f420: 655f 7273 7973 6c6f 675f 656e 6162 6c65  e_rsyslog_enable
│ │ │ -0004f430: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ -0004f440: 6520 7273 7973 6c6f 6720 5365 7276 6963  e rsyslog Servic
│ │ │ -0004f450: 6520 2d20 456e 6162 6c65 2073 6572 7669  e - Enable servi
│ │ │ -0004f460: 6365 2072 7379 736c 6f67 0a20 2062 6c6f  ce rsyslog.  blo
│ │ │ -0004f470: 636b 3a0a 0a20 202d 206e 616d 653a 2047  ck:..  - name: G
│ │ │ -0004f480: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0004f490: 6520 6661 6374 730a 2020 2020 7061 636b  e facts.    pack
│ │ │ -0004f4a0: 6167 655f 6661 6374 733a 0a20 2020 2020  age_facts:.     
│ │ │ -0004f4b0: 206d 616e 6167 6572 3a20 6175 746f 0a0a   manager: auto..
│ │ │ -0004f4c0: 2020 2d20 6e61 6d65 3a20 456e 6162 6c65    - name: Enable
│ │ │ -0004f4d0: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ -0004f4e0: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ -0004f4f0: 6520 7273 7973 6c6f 670a 2020 2020 616e  e rsyslog.    an
│ │ │ -0004f500: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ -0004f510: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ -0004f520: 653a 2072 7379 736c 6f67 0a20 2020 2020  e: rsyslog.     
│ │ │ -0004f530: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ -0004f540: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ -0004f550: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ -0004f560: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ -0004f570: 3a0a 2020 2020 2d20 2722 7273 7973 6c6f  :.    - '"rsyslo
│ │ │ -0004f580: 6722 2069 6e20 616e 7369 626c 655f 6661  g" in ansible_fa
│ │ │ -0004f590: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -0004f5a0: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -0004f5b0: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -0004f5c0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0004f5d0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0004f5e0: 3830 302d 3533 2d41 552d 3428 3129 0a20  800-53-AU-4(1). 
│ │ │ -0004f5f0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0004f600: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -0004f610: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0004f620: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0004f630: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0004f640: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0004f650: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0004f660: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ -0004f670: 7276 6963 655f 7273 7973 6c6f 675f 656e  rvice_rsyslog_en
│ │ │ -0004f680: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0004ee20: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0004ee30: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0004ee40: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0004ee50: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0004ee60: 2069 643d 2269 646d 3439 3233 223e 3c74   id="idm4923"><t
│ │ │ +0004ee70: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0004ee80: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0004ee90: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0004eea0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0004eeb0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0004eec0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0004eed0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0004eee0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0004eef0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0004ef00: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0004ef10: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0004ef20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0004ef30: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0004ef40: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0004ef50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0004ef60: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +0004ef70: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0004ef80: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +0004ef90: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +0004efa0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +0004efb0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0004efc0: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +0004efd0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0004efe0: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +0004eff0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0004f000: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0004f010: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0004f020: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0004f030: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0004f040: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +0004f050: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ +0004f060: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ +0004f070: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ +0004f080: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ +0004f090: 6520 7273 7973 6c6f 670a 2020 626c 6f63  e rsyslog.  bloc
│ │ │ +0004f0a0: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ +0004f0b0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0004f0c0: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ +0004f0d0: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ +0004f0e0: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ +0004f0f0: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ +0004f100: 7273 7973 6c6f 6720 5365 7276 6963 6520  rsyslog Service 
│ │ │ +0004f110: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ +0004f120: 2072 7379 736c 6f67 0a20 2020 2061 6e73   rsyslog.    ans
│ │ │ +0004f130: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +0004f140: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +0004f150: 3a20 7273 7973 6c6f 670a 2020 2020 2020  : rsyslog.      
│ │ │ +0004f160: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ +0004f170: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ +0004f180: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ +0004f190: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ +0004f1a0: 0a20 2020 202d 2027 2272 7379 736c 6f67  .    - '"rsyslog
│ │ │ +0004f1b0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0004f1c0: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ +0004f1d0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +0004f1e0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +0004f1f0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0004f200: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0004f210: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ +0004f220: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0004f230: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0004f240: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0004f250: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0004f260: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0004f270: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0004f280: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0004f290: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +0004f2a0: 7669 6365 5f72 7379 736c 6f67 5f65 6e61  vice_rsyslog_ena
│ │ │ +0004f2b0: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +0004f2c0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0004f2d0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0004f2e0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0004f2f0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0004f300: 6172 6765 743d 2223 6964 6d34 3932 3422  arget="#idm4924"
│ │ │ +0004f310: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0004f320: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0004f330: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0004f340: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0004f350: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0004f360: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0004f370: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +0004f380: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +0004f390: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0004f3a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0004f3b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0004f3c0: 2269 646d 3439 3234 223e 3c70 7265 3e3c  "idm4924"><pre><
│ │ │ +0004f3d0: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ +0004f3e0: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ +0004f3f0: 656e 6162 6c65 6420 3d20 5b22 7273 7973  enabled = ["rsys
│ │ │ +0004f400: 6c6f 6722 5d0a 3c2f 636f 6465 3e3c 2f70  log"].</code></p
│ │ │ +0004f410: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0004f420: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0004f430: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0004f440: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0004f450: 7461 7267 6574 3d22 2369 646d 3439 3235  target="#idm4925
│ │ │ +0004f460: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0004f470: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0004f480: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0004f490: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0004f4a0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0004f4b0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0004f4c0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0004f4d0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0004f4e0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0004f4f0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0004f500: 6522 2069 643d 2269 646d 3439 3235 223e  e" id="idm4925">
│ │ │ +0004f510: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0004f520: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0004f530: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0004f540: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0004f550: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0004f560: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0004f570: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0004f580: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0004f590: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0004f5a0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0004f5b0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0004f5c0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0004f5d0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0004f5e0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0004f5f0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0004f600: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +0004f610: 656e 6162 6c65 5f72 7379 736c 6f67 0a0a  enable_rsyslog..
│ │ │ +0004f620: 636c 6173 7320 656e 6162 6c65 5f72 7379  class enable_rsy
│ │ │ +0004f630: 736c 6f67 207b 0a20 2073 6572 7669 6365  slog {.  service
│ │ │ +0004f640: 207b 2772 7379 736c 6f67 273a 0a20 2020   {'rsyslog':.   
│ │ │ +0004f650: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ +0004f660: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ +0004f670: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ +0004f680: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0004f690: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0004f6a0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0004f6b0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0004f6c0: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0004f6d0: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  0004f6e0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0004f6f0: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f70  .content_group_p
│ │ │ @@ -27966,182 +27966,182 @@
│ │ │  0006d3d0: 2d74 6172 6765 743d 2223 6964 6d39 3533  -target="#idm953
│ │ │  0006d3e0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │  0006d3f0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  0006d400: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  0006d410: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  0006d420: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  0006d430: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0006d440: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ -0006d450: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ -0006d460: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0006d470: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0006d480: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0006d490: 643d 2269 646d 3935 3335 223e 3c70 7265  d="idm9535"><pre
│ │ │ -0006d4a0: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -0006d4b0: 6573 5d5d 0a6e 616d 6520 3d20 2263 726f  es]].name = "cro
│ │ │ -0006d4c0: 6e22 0a76 6572 7369 6f6e 203d 2022 2a22  n".version = "*"
│ │ │ -0006d4d0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0006d4e0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0006d4f0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0006d500: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0006d510: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0006d520: 743d 2223 6964 6d39 3533 3622 2074 6162  t="#idm9536" tab
│ │ │ -0006d530: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0006d540: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0006d550: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0006d560: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0006d570: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0006d580: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -0006d590: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -0006d5a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0006d5b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0006d5c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0006d5d0: 3d22 6964 6d39 3533 3622 3e3c 7461 626c  ="idm9536"><tabl
│ │ │ -0006d5e0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0006d5f0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0006d600: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0006d610: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0006d620: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0006d630: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0006d640: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0006d650: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0006d660: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0006d670: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0006d680: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0006d690: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0006d6a0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0006d6b0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -0006d6c0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0006d6d0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ -0006d6e0: 6c6c 5f63 726f 6e0a 0a63 6c61 7373 2069  ll_cron..class i
│ │ │ -0006d6f0: 6e73 7461 6c6c 5f63 726f 6e20 7b0a 2020  nstall_cron {.  
│ │ │ -0006d700: 7061 636b 6167 6520 7b20 2763 726f 6e27  package { 'cron'
│ │ │ -0006d710: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0006d720: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ -0006d730: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0006d740: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0006d750: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0006d760: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0006d770: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0006d780: 7461 7267 6574 3d22 2369 646d 3935 3337  target="#idm9537
│ │ │ -0006d790: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -0006d7a0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -0006d7b0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -0006d7c0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -0006d7d0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -0006d7e0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0006d7f0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -0006d800: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0006d810: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0006d820: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0006d830: 7365 2220 6964 3d22 6964 6d39 3533 3722  se" id="idm9537"
│ │ │ -0006d840: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0006d850: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0006d860: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0006d870: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0006d880: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0006d890: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0006d8a0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0006d8b0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0006d8c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0006d8d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0006d8e0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0006d8f0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0006d900: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0006d910: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0006d920: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0006d930: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0006d940: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -0006d950: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -0006d960: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -0006d970: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -0006d980: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -0006d990: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -0006d9a0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ -0006d9b0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -0006d9c0: 2e36 0a20 202d 2065 6e61 626c 655f 7374  .6.  - enable_st
│ │ │ -0006d9d0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0006d9e0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0006d9f0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0006da00: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0006da10: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006da20: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -0006da30: 655f 6372 6f6e 5f69 6e73 7461 6c6c 6564  e_cron_installed
│ │ │ -0006da40: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0006da50: 2063 726f 6e20 6973 2069 6e73 7461 6c6c   cron is install
│ │ │ -0006da60: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -0006da70: 2020 6e61 6d65 3a20 6372 6f6e 0a20 2020    name: cron.   
│ │ │ -0006da80: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0006da90: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0006daa0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0006dab0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0006dac0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0006dad0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0006dae0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0006daf0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0006db00: 2d32 2e32 2e36 0a20 202d 2065 6e61 626c  -2.2.6.  - enabl
│ │ │ -0006db10: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0006db20: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0006db30: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0006db40: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0006db50: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0006db60: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0006db70: 636b 6167 655f 6372 6f6e 5f69 6e73 7461  ckage_cron_insta
│ │ │ -0006db80: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ -0006db90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -0006dba0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -0006dbb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -0006dbc0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -0006dbd0: 6172 6765 743d 2223 6964 6d39 3533 3822  arget="#idm9538"
│ │ │ -0006dbe0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0006dbf0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0006dc00: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0006dc10: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0006dc20: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0006dc30: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0006dc40: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ -0006dc50: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0006dc60: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0006dc70: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0006dc80: 6964 3d22 6964 6d39 3533 3822 3e3c 7461  id="idm9538"><ta
│ │ │ -0006dc90: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0006dca0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0006dcb0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0006dcc0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0006dcd0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0006dce0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0006dcf0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0006dd00: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0006dd10: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0006dd20: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0006dd30: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0006dd40: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0006dd50: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0006dd60: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -0006dd70: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -0006dd80: 636f 6465 3e23 2052 656d 6564 6961 7469  code># Remediati
│ │ │ -0006dd90: 6f6e 2069 7320 6170 706c 6963 6162 6c65  on is applicable
│ │ │ -0006dda0: 206f 6e6c 7920 696e 2063 6572 7461 696e   only in certain
│ │ │ -0006ddb0: 2070 6c61 7466 6f72 6d73 0a69 6620 6470   platforms.if dp
│ │ │ -0006ddc0: 6b67 2d71 7565 7279 202d 2d73 686f 7720  kg-query --show 
│ │ │ -0006ddd0: 2d2d 7368 6f77 666f 726d 6174 3d27 247b  --showformat='${
│ │ │ -0006dde0: 6462 3a53 7461 7475 732d 5374 6174 7573  db:Status-Status
│ │ │ -0006ddf0: 7d0a 2720 276c 696e 7578 2d62 6173 6527  }.' 'linux-base'
│ │ │ -0006de00: 2032 2667 743b 2f64 6576 2f6e 756c 6c20   2&gt;/dev/null 
│ │ │ -0006de10: 7c20 6772 6570 202d 7120 5e69 6e73 7461  | grep -q ^insta
│ │ │ -0006de20: 6c6c 6564 3b20 7468 656e 0a0a 4445 4249  lled; then..DEBI
│ │ │ -0006de30: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -0006de40: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -0006de50: 6574 2069 6e73 7461 6c6c 202d 7920 2263  et install -y "c
│ │ │ -0006de60: 726f 6e22 0a0a 656c 7365 0a20 2020 2026  ron"..else.    &
│ │ │ -0006de70: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ -0006de80: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ -0006de90: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ -0006dea0: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ -0006deb0: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +0006d440: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +0006d450: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0006d460: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0006d470: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0006d480: 7073 6522 2069 643d 2269 646d 3935 3335  pse" id="idm9535
│ │ │ +0006d490: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0006d4a0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0006d4b0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0006d4c0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0006d4d0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0006d4e0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0006d4f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006d500: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0006d510: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006d520: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0006d530: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0006d540: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0006d550: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0006d560: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0006d570: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0006d580: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0006d590: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +0006d5a0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +0006d5b0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +0006d5c0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +0006d5d0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0006d5e0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0006d5f0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +0006d600: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +0006d610: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ +0006d620: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0006d630: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0006d640: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0006d650: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0006d660: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0006d670: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0006d680: 6765 5f63 726f 6e5f 696e 7374 616c 6c65  ge_cron_installe
│ │ │ +0006d690: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0006d6a0: 6520 6372 6f6e 2069 7320 696e 7374 616c  e cron is instal
│ │ │ +0006d6b0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ +0006d6c0: 2020 206e 616d 653a 2063 726f 6e0a 2020     name: cron.  
│ │ │ +0006d6d0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +0006d6e0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +0006d6f0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +0006d700: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +0006d710: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ +0006d720: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0006d730: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ +0006d740: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +0006d750: 342d 322e 322e 360a 2020 2d20 656e 6162  4-2.2.6.  - enab
│ │ │ +0006d760: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0006d770: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0006d780: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0006d790: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +0006d7a0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +0006d7b0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0006d7c0: 6163 6b61 6765 5f63 726f 6e5f 696e 7374  ackage_cron_inst
│ │ │ +0006d7d0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +0006d7e0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0006d7f0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0006d800: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0006d810: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0006d820: 7461 7267 6574 3d22 2369 646d 3935 3336  target="#idm9536
│ │ │ +0006d830: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0006d840: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0006d850: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0006d860: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0006d870: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0006d880: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0006d890: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +0006d8a0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0006d8b0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0006d8c0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0006d8d0: 2069 643d 2269 646d 3935 3336 223e 3c74   id="idm9536"><t
│ │ │ +0006d8e0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0006d8f0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0006d900: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0006d910: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0006d920: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0006d930: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0006d940: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006d950: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0006d960: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0006d970: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0006d980: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0006d990: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006d9a0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0006d9b0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0006d9c0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0006d9d0: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ +0006d9e0: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ +0006d9f0: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ +0006da00: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ +0006da10: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ +0006da20: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ +0006da30: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ +0006da40: 737d 0a27 2027 6c69 6e75 782d 6261 7365  s}.' 'linux-base
│ │ │ +0006da50: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c  ' 2&gt;/dev/null
│ │ │ +0006da60: 207c 2067 7265 7020 2d71 205e 696e 7374   | grep -q ^inst
│ │ │ +0006da70: 616c 6c65 643b 2074 6865 6e0a 0a44 4542  alled; then..DEB
│ │ │ +0006da80: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +0006da90: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +0006daa0: 6765 7420 696e 7374 616c 6c20 2d79 2022  get install -y "
│ │ │ +0006dab0: 6372 6f6e 220a 0a65 6c73 650a 2020 2020  cron"..else.    
│ │ │ +0006dac0: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ +0006dad0: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ +0006dae0: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ +0006daf0: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ +0006db00: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +0006db10: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0006db20: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0006db30: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0006db40: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0006db50: 6172 6765 743d 2223 6964 6d39 3533 3722  arget="#idm9537"
│ │ │ +0006db60: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0006db70: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0006db80: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0006db90: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0006dba0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0006dbb0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0006dbc0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +0006dbd0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +0006dbe0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0006dbf0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0006dc00: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0006dc10: 2269 646d 3935 3337 223e 3c70 7265 3e3c  "idm9537"><pre><
│ │ │ +0006dc20: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ +0006dc30: 5d5d 0a6e 616d 6520 3d20 2263 726f 6e22  ]].name = "cron"
│ │ │ +0006dc40: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ +0006dc50: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0006dc60: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0006dc70: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0006dc80: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0006dc90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0006dca0: 2223 6964 6d39 3533 3822 2074 6162 696e  "#idm9538" tabin
│ │ │ +0006dcb0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0006dcc0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0006dcd0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0006dce0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0006dcf0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0006dd00: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0006dd10: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0006dd20: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0006dd30: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0006dd40: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0006dd50: 6964 6d39 3533 3822 3e3c 7461 626c 6520  idm9538"><table 
│ │ │ +0006dd60: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0006dd70: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0006dd80: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0006dd90: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0006dda0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0006ddb0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0006ddc0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0006ddd0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0006dde0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006ddf0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0006de00: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0006de10: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0006de20: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +0006de30: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0006de40: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0006de50: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ +0006de60: 5f63 726f 6e0a 0a63 6c61 7373 2069 6e73  _cron..class ins
│ │ │ +0006de70: 7461 6c6c 5f63 726f 6e20 7b0a 2020 7061  tall_cron {.  pa
│ │ │ +0006de80: 636b 6167 6520 7b20 2763 726f 6e27 3a0a  ckage { 'cron':.
│ │ │ +0006de90: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +0006dea0: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ +0006deb0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  0006dec0: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  0006ded0: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  0006dee0: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  0006def0: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  0006df00: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  0006df10: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  0006df20: 6c65 5f73 6572 7669 6365 5f63 726f 6e5f  le_service_cron_
│ │ │ @@ -28365,144 +28365,144 @@
│ │ │  0006ecc0: 2d74 6172 6765 743d 2223 6964 6d39 3632  -target="#idm962
│ │ │  0006ecd0: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │  0006ece0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  0006ecf0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  0006ed00: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  0006ed10: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  0006ed20: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0006ed30: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ -0006ed40: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ -0006ed50: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0006ed60: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0006ed70: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0006ed80: 643d 2269 646d 3936 3231 223e 3c70 7265  d="idm9621"><pre
│ │ │ -0006ed90: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ -0006eda0: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ -0006edb0: 5d0a 656e 6162 6c65 6420 3d20 5b22 6372  ].enabled = ["cr
│ │ │ -0006edc0: 6f6e 225d 0a3c 2f63 6f64 653e 3c2f 7072  on"].</code></pr
│ │ │ -0006edd0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -0006ede0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -0006edf0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -0006ee00: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -0006ee10: 6172 6765 743d 2223 6964 6d39 3632 3222  arget="#idm9622"
│ │ │ -0006ee20: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0006ee30: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0006ee40: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0006ee50: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0006ee60: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0006ee70: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0006ee80: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0006ee90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0006eea0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0006eeb0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0006eec0: 2220 6964 3d22 6964 6d39 3632 3222 3e3c  " id="idm9622"><
│ │ │ -0006eed0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0006eee0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0006eef0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0006ef00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0006ef10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0006ef20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0006ef30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0006ef40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0006ef50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0006ef60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0006ef70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0006ef80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0006ef90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0006efa0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0006efb0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0006efc0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ -0006efd0: 6e61 626c 655f 6372 6f6e 0a0a 636c 6173  nable_cron..clas
│ │ │ -0006efe0: 7320 656e 6162 6c65 5f63 726f 6e20 7b0a  s enable_cron {.
│ │ │ -0006eff0: 2020 7365 7276 6963 6520 7b27 6372 6f6e    service {'cron
│ │ │ -0006f000: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -0006f010: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -0006f020: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -0006f030: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -0006f040: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0006f050: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0006f060: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0006f070: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0006f080: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0006f090: 646d 3936 3233 2220 7461 6269 6e64 6578  dm9623" tabindex
│ │ │ -0006f0a0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0006f0b0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0006f0c0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0006f0d0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0006f0e0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0006f0f0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -0006f100: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -0006f110: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0006f120: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0006f130: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0006f140: 6d39 3632 3322 3e3c 7461 626c 6520 636c  m9623"><table cl
│ │ │ -0006f150: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0006f160: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0006f170: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0006f180: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0006f190: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0006f1a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0006f1b0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0006f1c0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0006f1d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006f1e0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0006f1f0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0006f200: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0006f210: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -0006f220: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0006f230: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0006f240: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -0006f250: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -0006f260: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -0006f270: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -0006f280: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -0006f290: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0006f2a0: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0006f2b0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0006f2c0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0006f2d0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0006f2e0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0006f2f0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006f300: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0006f310: 655f 6372 6f6e 5f65 6e61 626c 6564 0a0a  e_cron_enabled..
│ │ │ -0006f320: 2d20 6e61 6d65 3a20 456e 6162 6c65 2063  - name: Enable c
│ │ │ -0006f330: 726f 6e20 5365 7276 6963 6520 2d20 456e  ron Service - En
│ │ │ -0006f340: 6162 6c65 2073 6572 7669 6365 2063 726f  able service cro
│ │ │ -0006f350: 6e0a 2020 626c 6f63 6b3a 0a0a 2020 2d20  n.  block:..  - 
│ │ │ -0006f360: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -0006f370: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -0006f380: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ -0006f390: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ -0006f3a0: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ -0006f3b0: 2045 6e61 626c 6520 6372 6f6e 2053 6572   Enable cron Ser
│ │ │ -0006f3c0: 7669 6365 202d 2045 6e61 626c 6520 5365  vice - Enable Se
│ │ │ -0006f3d0: 7276 6963 6520 6372 6f6e 0a20 2020 2061  rvice cron.    a
│ │ │ -0006f3e0: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ -0006f3f0: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ -0006f400: 6d65 3a20 6372 6f6e 0a20 2020 2020 2065  me: cron.      e
│ │ │ -0006f410: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ -0006f420: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ -0006f430: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ -0006f440: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ -0006f450: 2020 2020 2d20 2722 6372 6f6e 2220 696e      - '"cron" in
│ │ │ -0006f460: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -0006f470: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ -0006f480: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -0006f490: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -0006f4a0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -0006f4b0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0006f4c0: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -0006f4d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -0006f4e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -0006f4f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -0006f500: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -0006f510: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -0006f520: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -0006f530: 2073 6572 7669 6365 5f63 726f 6e5f 656e   service_cron_en
│ │ │ -0006f540: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0006ed30: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +0006ed40: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0006ed50: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0006ed60: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0006ed70: 7073 6522 2069 643d 2269 646d 3936 3231  pse" id="idm9621
│ │ │ +0006ed80: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0006ed90: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0006eda0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0006edb0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0006edc0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0006edd0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0006ede0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006edf0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0006ee00: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006ee10: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0006ee20: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0006ee30: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0006ee40: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0006ee50: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0006ee60: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0006ee70: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0006ee80: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +0006ee90: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +0006eea0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +0006eeb0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +0006eec0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0006eed0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0006eee0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0006eef0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0006ef00: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0006ef10: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +0006ef20: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +0006ef30: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0006ef40: 0a20 202d 2073 6572 7669 6365 5f63 726f  .  - service_cro
│ │ │ +0006ef50: 6e5f 656e 6162 6c65 640a 0a2d 206e 616d  n_enabled..- nam
│ │ │ +0006ef60: 653a 2045 6e61 626c 6520 6372 6f6e 2053  e: Enable cron S
│ │ │ +0006ef70: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +0006ef80: 7365 7276 6963 6520 6372 6f6e 0a20 2062  service cron.  b
│ │ │ +0006ef90: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ +0006efa0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +0006efb0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ +0006efc0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +0006efd0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +0006efe0: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ +0006eff0: 6c65 2063 726f 6e20 5365 7276 6963 6520  le cron Service 
│ │ │ +0006f000: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ +0006f010: 2063 726f 6e0a 2020 2020 616e 7369 626c   cron.    ansibl
│ │ │ +0006f020: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ +0006f030: 643a 0a20 2020 2020 206e 616d 653a 2063  d:.      name: c
│ │ │ +0006f040: 726f 6e0a 2020 2020 2020 656e 6162 6c65  ron.      enable
│ │ │ +0006f050: 643a 2074 7275 650a 2020 2020 2020 7374  d: true.      st
│ │ │ +0006f060: 6174 653a 2073 7461 7274 6564 0a20 2020  ate: started.   
│ │ │ +0006f070: 2020 206d 6173 6b65 643a 2066 616c 7365     masked: false
│ │ │ +0006f080: 0a20 2020 2077 6865 6e3a 0a20 2020 202d  .    when:.    -
│ │ │ +0006f090: 2027 2263 726f 6e22 2069 6e20 616e 7369   '"cron" in ansi
│ │ │ +0006f0a0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +0006f0b0: 6573 270a 2020 7768 656e 3a20 2722 6c69  es'.  when: '"li
│ │ │ +0006f0c0: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ +0006f0d0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +0006f0e0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +0006f0f0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0006f100: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ +0006f110: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +0006f120: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +0006f130: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +0006f140: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +0006f150: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +0006f160: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ +0006f170: 6963 655f 6372 6f6e 5f65 6e61 626c 6564  ice_cron_enabled
│ │ │ +0006f180: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0006f190: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0006f1a0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0006f1b0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0006f1c0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0006f1d0: 743d 2223 6964 6d39 3632 3222 2074 6162  t="#idm9622" tab
│ │ │ +0006f1e0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0006f1f0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0006f200: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0006f210: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0006f220: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0006f230: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +0006f240: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +0006f250: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0006f260: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0006f270: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0006f280: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0006f290: 3936 3232 223e 3c70 7265 3e3c 636f 6465  9622"><pre><code
│ │ │ +0006f2a0: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +0006f2b0: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +0006f2c0: 6c65 6420 3d20 5b22 6372 6f6e 225d 0a3c  led = ["cron"].<
│ │ │ +0006f2d0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0006f2e0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0006f2f0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0006f300: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0006f310: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0006f320: 2223 6964 6d39 3632 3322 2074 6162 696e  "#idm9623" tabin
│ │ │ +0006f330: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0006f340: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0006f350: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0006f360: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0006f370: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0006f380: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0006f390: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0006f3a0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0006f3b0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0006f3c0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0006f3d0: 6964 6d39 3632 3322 3e3c 7461 626c 6520  idm9623"><table 
│ │ │ +0006f3e0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0006f3f0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0006f400: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0006f410: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0006f420: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0006f430: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0006f440: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0006f450: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0006f460: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006f470: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0006f480: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0006f490: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0006f4a0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +0006f4b0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0006f4c0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0006f4d0: 3e69 6e63 6c75 6465 2065 6e61 626c 655f  >include enable_
│ │ │ +0006f4e0: 6372 6f6e 0a0a 636c 6173 7320 656e 6162  cron..class enab
│ │ │ +0006f4f0: 6c65 5f63 726f 6e20 7b0a 2020 7365 7276  le_cron {.  serv
│ │ │ +0006f500: 6963 6520 7b27 6372 6f6e 273a 0a20 2020  ice {'cron':.   
│ │ │ +0006f510: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ +0006f520: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ +0006f530: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ +0006f540: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0006f550: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0006f560: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0006f570: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0006f580: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0006f590: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  0006f5a0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0006f5b0: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f64  .content_group_d
│ │ │ @@ -28782,146 +28782,146 @@
│ │ │  000706d0: 7461 7267 6574 3d22 2369 646d 3937 3236  target="#idm9726
│ │ │  000706e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  000706f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  00070700: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  00070710: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  00070720: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  00070730: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00070740: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -00070750: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00070760: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00070770: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00070780: 6522 2069 643d 2269 646d 3937 3236 223e  e" id="idm9726">
│ │ │ -00070790: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -000707a0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -000707b0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -000707c0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -000707d0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -000707e0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -000707f0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00070800: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00070810: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00070820: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00070830: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00070840: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00070850: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00070860: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00070870: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00070880: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00070890: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ -000708a0: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ -000708b0: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ -000708c0: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ -000708d0: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ -000708e0: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ -000708f0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -00070900: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -00070910: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00070920: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00070930: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00070940: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00070950: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00070960: 2369 646d 3937 3237 2220 7461 6269 6e64  #idm9727" tabind
│ │ │ -00070970: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00070980: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00070990: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -000709a0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -000709b0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -000709c0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -000709d0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -000709e0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000709f0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00070a00: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00070a10: 6964 6d39 3732 3722 3e3c 7461 626c 6520  idm9727"><table 
│ │ │ -00070a20: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00070a30: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00070a40: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00070a50: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00070a60: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00070a70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00070a80: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00070a90: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00070aa0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00070ab0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00070ac0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00070ad0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00070ae0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00070af0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00070b00: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00070b10: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -00070b20: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ -00070b30: 7464 2069 7320 7265 6d6f 7665 640a 2020  td is removed.  
│ │ │ -00070b40: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -00070b50: 653a 2069 6e65 7475 7469 6c73 2d74 656c  e: inetutils-tel
│ │ │ -00070b60: 6e65 7464 0a20 2020 2073 7461 7465 3a20  netd.    state: 
│ │ │ -00070b70: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -00070b80: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00070b90: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -00070ba0: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -00070bb0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00070bc0: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ -00070bd0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00070be0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -00070bf0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00070c00: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00070c10: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -00070c20: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00070c30: 6b61 6765 5f69 6e65 7475 7469 6c73 2d74  kage_inetutils-t
│ │ │ -00070c40: 656c 6e65 7464 5f72 656d 6f76 6564 0a3c  elnetd_removed.<
│ │ │ -00070c50: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00070c60: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00070c70: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00070c80: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00070c90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00070ca0: 2223 6964 6d39 3732 3822 2074 6162 696e  "#idm9728" tabin
│ │ │ -00070cb0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00070cc0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00070cd0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00070ce0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00070cf0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00070d00: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -00070d10: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -00070d20: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00070d30: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00070d40: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00070d50: 6d39 3732 3822 3e3c 7461 626c 6520 636c  m9728"><table cl
│ │ │ -00070d60: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00070d70: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00070d80: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00070d90: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00070da0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00070db0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00070dc0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00070dd0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00070de0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00070df0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00070e00: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00070e10: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00070e20: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00070e30: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00070e40: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00070e50: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -00070e60: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -00070e70: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -00070e80: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00070e90: 640a 2309 2020 2066 726f 6d20 7468 6520  d.#.   from the 
│ │ │ -00070ea0: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ -00070eb0: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ -00070ec0: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ -00070ed0: 7065 6e64 206f 6e20 696e 6574 7574 696c  pend on inetutil
│ │ │ -00070ee0: 732d 7465 6c6e 6574 642e 2045 7865 6375  s-telnetd. Execu
│ │ │ -00070ef0: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ -00070f00: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ -00070f10: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ -00070f20: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ -00070f30: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ -00070f40: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -00070f50: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -00070f60: 7265 6d6f 7665 202d 7920 2269 6e65 7475  remove -y "inetu
│ │ │ -00070f70: 7469 6c73 2d74 656c 6e65 7464 220a 3c2f  tils-telnetd".</
│ │ │ +00070740: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +00070750: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00070760: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00070770: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00070780: 7365 2220 6964 3d22 6964 6d39 3732 3622  se" id="idm9726"
│ │ │ +00070790: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000707a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000707b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000707c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +000707d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000707e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000707f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00070800: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00070810: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00070820: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00070830: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00070840: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00070850: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00070860: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00070870: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00070880: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00070890: 3a20 456e 7375 7265 2069 6e65 7475 7469  : Ensure inetuti
│ │ │ +000708a0: 6c73 2d74 656c 6e65 7464 2069 7320 7265  ls-telnetd is re
│ │ │ +000708b0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +000708c0: 0a20 2020 206e 616d 653a 2069 6e65 7475  .    name: inetu
│ │ │ +000708d0: 7469 6c73 2d74 656c 6e65 7464 0a20 2020  tils-telnetd.   
│ │ │ +000708e0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +000708f0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00070900: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00070910: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00070920: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ +00070930: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ +00070940: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +00070950: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +00070960: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +00070970: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00070980: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00070990: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +000709a0: 0a20 202d 2070 6163 6b61 6765 5f69 6e65  .  - package_ine
│ │ │ +000709b0: 7475 7469 6c73 2d74 656c 6e65 7464 5f72  tutils-telnetd_r
│ │ │ +000709c0: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +000709d0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000709e0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000709f0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00070a00: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00070a10: 2d74 6172 6765 743d 2223 6964 6d39 3732  -target="#idm972
│ │ │ +00070a20: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ +00070a30: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00070a40: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00070a50: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00070a60: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00070a70: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00070a80: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +00070a90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00070aa0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00070ab0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00070ac0: 2220 6964 3d22 6964 6d39 3732 3722 3e3c  " id="idm9727"><
│ │ │ +00070ad0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00070ae0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00070af0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00070b00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00070b10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00070b20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00070b30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00070b40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00070b50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00070b60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00070b70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00070b80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00070b90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00070ba0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00070bb0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00070bc0: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +00070bd0: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +00070be0: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +00070bf0: 2072 656d 6f76 6520 696e 6574 7574 696c   remove inetutil
│ │ │ +00070c00: 732d 7465 6c6e 6574 640a 2309 2020 2066  s-telnetd.#.   f
│ │ │ +00070c10: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ +00070c20: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ +00070c30: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ +00070c40: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ +00070c50: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ +00070c60: 642e 2045 7865 6375 7465 2074 6869 730a  d. Execute this.
│ │ │ +00070c70: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +00070c80: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +00070c90: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +00070ca0: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +00070cb0: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +00070cc0: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +00070cd0: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +00070ce0: 7920 2269 6e65 7475 7469 6c73 2d74 656c  y "inetutils-tel
│ │ │ +00070cf0: 6e65 7464 220a 3c2f 636f 6465 3e3c 2f70  netd".</code></p
│ │ │ +00070d00: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00070d10: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00070d20: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00070d30: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00070d40: 7461 7267 6574 3d22 2369 646d 3937 3238  target="#idm9728
│ │ │ +00070d50: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00070d60: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00070d70: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00070d80: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00070d90: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00070da0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00070db0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00070dc0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00070dd0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00070de0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00070df0: 6522 2069 643d 2269 646d 3937 3238 223e  e" id="idm9728">
│ │ │ +00070e00: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00070e10: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00070e20: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00070e30: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00070e40: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00070e50: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00070e60: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00070e70: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00070e80: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00070e90: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00070ea0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00070eb0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00070ec0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00070ed0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00070ee0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00070ef0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00070f00: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00070f10: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ +00070f20: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00070f30: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ +00070f40: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ +00070f50: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ +00070f60: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00070f70: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00070f80: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00070f90: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  00070fa0: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  00070fb0: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  00070fc0: 6174 612d 7474 2d69 643d 2278 6363 6466  ata-tt-id="xccdf
│ │ │  00070fd0: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  00070fe0: 636f 6e74 656e 745f 7275 6c65 5f70 6163  content_rule_pac
│ │ │ @@ -29016,134 +29016,134 @@
│ │ │  00071570: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00071580: 2369 646d 3937 3335 2220 7461 6269 6e64  #idm9735" tabind
│ │ │  00071590: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  000715a0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  000715b0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  000715c0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  000715d0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -000715e0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -000715f0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00071600: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00071610: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00071620: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00071630: 646d 3937 3335 223e 3c74 6162 6c65 2063  dm9735"><table c
│ │ │ -00071640: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00071650: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00071660: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00071670: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00071680: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00071690: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000716a0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -000716b0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -000716c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000716d0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000716e0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000716f0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00071700: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00071710: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00071720: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00071730: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -00071740: 6e69 730a 0a63 6c61 7373 2072 656d 6f76  nis..class remov
│ │ │ -00071750: 655f 6e69 7320 7b0a 2020 7061 636b 6167  e_nis {.  packag
│ │ │ -00071760: 6520 7b20 276e 6973 273a 0a20 2020 2065  e { 'nis':.    e
│ │ │ -00071770: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -00071780: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -00071790: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000717a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000717b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000717c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000717d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000717e0: 646d 3937 3336 2220 7461 6269 6e64 6578  dm9736" tabindex
│ │ │ -000717f0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00071800: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00071810: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00071820: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00071830: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00071840: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00071850: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00071860: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00071870: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00071880: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00071890: 6d39 3733 3622 3e3c 7461 626c 6520 636c  m9736"><table cl
│ │ │ -000718a0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000718b0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000718c0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000718d0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -000718e0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -000718f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00071900: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00071910: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00071920: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00071930: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00071940: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00071950: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00071960: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00071970: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00071980: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00071990: 2d20 6e61 6d65 3a20 456e 7375 7265 206e  - name: Ensure n
│ │ │ -000719a0: 6973 2069 7320 7265 6d6f 7665 640a 2020  is is removed.  
│ │ │ -000719b0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -000719c0: 653a 206e 6973 0a20 2020 2073 7461 7465  e: nis.    state
│ │ │ -000719d0: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ -000719e0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -000719f0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00071a00: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00071a10: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00071a20: 6c6f 775f 7365 7665 7269 7479 0a20 202d  low_severity.  -
│ │ │ -00071a30: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00071a40: 640a 2020 2d20 7061 636b 6167 655f 6e69  d.  - package_ni
│ │ │ -00071a50: 735f 7265 6d6f 7665 640a 3c2f 636f 6465  s_removed.</code
│ │ │ -00071a60: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00071a70: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00071a80: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00071a90: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00071aa0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00071ab0: 3937 3337 2220 7461 6269 6e64 6578 3d22  9737" tabindex="
│ │ │ -00071ac0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00071ad0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00071ae0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00071af0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00071b00: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00071b10: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00071b20: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00071b30: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00071b40: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00071b50: 7073 6522 2069 643d 2269 646d 3937 3337  pse" id="idm9737
│ │ │ -00071b60: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00071b70: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00071b80: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00071b90: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00071ba0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00071bb0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00071bc0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00071bd0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00071be0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00071bf0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00071c00: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00071c10: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00071c20: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00071c30: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00071c40: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00071c50: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -00071c60: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -00071c70: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -00071c80: 696c 6c20 7265 6d6f 7665 206e 6973 0a23  ill remove nis.#
│ │ │ -00071c90: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -00071ca0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -00071cb0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -00071cc0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -00071cd0: 6420 6f6e 206e 6973 2e20 4578 6563 7574  d on nis. Execut
│ │ │ -00071ce0: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ -00071cf0: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ -00071d00: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ -00071d10: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ -00071d20: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ -00071d30: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -00071d40: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ -00071d50: 656d 6f76 6520 2d79 2022 6e69 7322 0a3c  emove -y "nis".<
│ │ │ +000715e0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +000715f0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +00071600: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00071610: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00071620: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00071630: 6964 6d39 3733 3522 3e3c 7461 626c 6520  idm9735"><table 
│ │ │ +00071640: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00071650: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00071660: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00071670: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00071680: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00071690: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000716a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000716b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000716c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000716d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000716e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000716f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00071700: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00071710: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00071720: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00071730: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +00071740: 206e 6973 2069 7320 7265 6d6f 7665 640a   nis is removed.
│ │ │ +00071750: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00071760: 616d 653a 206e 6973 0a20 2020 2073 7461  ame: nis.    sta
│ │ │ +00071770: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00071780: 733a 0a20 202d 2064 6973 6162 6c65 5f73  s:.  - disable_s
│ │ │ +00071790: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +000717a0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +000717b0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +000717c0: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ +000717d0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +000717e0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +000717f0: 6e69 735f 7265 6d6f 7665 640a 3c2f 636f  nis_removed.</co
│ │ │ +00071800: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00071810: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00071820: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00071830: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00071840: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00071850: 646d 3937 3336 2220 7461 6269 6e64 6578  dm9736" tabindex
│ │ │ +00071860: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00071870: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00071880: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00071890: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000718a0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +000718b0: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +000718c0: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +000718d0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000718e0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000718f0: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ +00071900: 3336 223e 3c74 6162 6c65 2063 6c61 7373  36"><table class
│ │ │ +00071910: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00071920: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00071930: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00071940: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00071950: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00071960: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00071970: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00071980: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00071990: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000719a0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000719b0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000719c0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +000719d0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +000719e0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +000719f0: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ +00071a00: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ +00071a10: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ +00071a20: 2077 696c 6c20 7265 6d6f 7665 206e 6973   will remove nis
│ │ │ +00071a30: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ +00071a40: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ +00071a50: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ +00071a60: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ +00071a70: 656e 6420 6f6e 206e 6973 2e20 4578 6563  end on nis. Exec
│ │ │ +00071a80: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ +00071a90: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ +00071aa0: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ +00071ab0: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ +00071ac0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ +00071ad0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ +00071ae0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ +00071af0: 2072 656d 6f76 6520 2d79 2022 6e69 7322   remove -y "nis"
│ │ │ +00071b00: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00071b10: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00071b20: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00071b30: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00071b40: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00071b50: 743d 2223 6964 6d39 3733 3722 2074 6162  t="#idm9737" tab
│ │ │ +00071b60: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00071b70: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00071b80: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00071b90: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00071ba0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00071bb0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00071bc0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00071bd0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00071be0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00071bf0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00071c00: 3d22 6964 6d39 3733 3722 3e3c 7461 626c  ="idm9737"><tabl
│ │ │ +00071c10: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00071c20: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00071c30: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00071c40: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00071c50: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00071c60: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00071c70: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00071c80: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00071c90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00071ca0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00071cb0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00071cc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00071cd0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00071ce0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00071cf0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00071d00: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +00071d10: 7665 5f6e 6973 0a0a 636c 6173 7320 7265  ve_nis..class re
│ │ │ +00071d20: 6d6f 7665 5f6e 6973 207b 0a20 2070 6163  move_nis {.  pac
│ │ │ +00071d30: 6b61 6765 207b 2027 6e69 7327 3a0a 2020  kage { 'nis':.  
│ │ │ +00071d40: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00071d50: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  00071d60: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00071d70: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  00071d80: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  00071d90: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  00071da0: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  00071db0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  00071dc0: 2e63 6f6e 7465 6e74 5f72 756c 655f 7061  .content_rule_pa
│ │ │ @@ -29239,137 +29239,137 @@
│ │ │  00072360: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00072370: 3d22 2369 646d 3937 3434 2220 7461 6269  ="#idm9744" tabi
│ │ │  00072380: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00072390: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  000723a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  000723b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  000723c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000723d0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -000723e0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -000723f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00072400: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00072410: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00072420: 2269 646d 3937 3434 223e 3c74 6162 6c65  "idm9744"><table
│ │ │ -00072430: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00072440: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00072450: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00072460: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00072470: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00072480: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00072490: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -000724a0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -000724b0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000724c0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -000724d0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -000724e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000724f0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00072500: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00072510: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00072520: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ -00072530: 655f 6e74 7064 6174 650a 0a63 6c61 7373  e_ntpdate..class
│ │ │ -00072540: 2072 656d 6f76 655f 6e74 7064 6174 6520   remove_ntpdate 
│ │ │ -00072550: 7b0a 2020 7061 636b 6167 6520 7b20 276e  {.  package { 'n
│ │ │ -00072560: 7470 6461 7465 273a 0a20 2020 2065 6e73  tpdate':.    ens
│ │ │ -00072570: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00072580: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00072590: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -000725a0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000725b0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000725c0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -000725d0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -000725e0: 3937 3435 2220 7461 6269 6e64 6578 3d22  9745" tabindex="
│ │ │ -000725f0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00072600: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00072610: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00072620: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00072630: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00072640: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00072650: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00072660: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00072670: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00072680: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ -00072690: 3734 3522 3e3c 7461 626c 6520 636c 6173  745"><table clas
│ │ │ -000726a0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -000726b0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -000726c0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -000726d0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -000726e0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -000726f0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00072700: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00072710: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00072720: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00072730: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00072740: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00072750: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00072760: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00072770: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00072780: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00072790: 6e61 6d65 3a20 456e 7375 7265 206e 7470  name: Ensure ntp
│ │ │ -000727a0: 6461 7465 2069 7320 7265 6d6f 7665 640a  date is removed.
│ │ │ -000727b0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -000727c0: 616d 653a 206e 7470 6461 7465 0a20 2020  ame: ntpdate.   
│ │ │ -000727d0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -000727e0: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -000727f0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00072800: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00072810: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00072820: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -00072830: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00072840: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00072850: 6167 655f 6e74 7064 6174 655f 7265 6d6f  age_ntpdate_remo
│ │ │ -00072860: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ -00072870: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00072880: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00072890: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -000728a0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -000728b0: 7267 6574 3d22 2369 646d 3937 3436 2220  rget="#idm9746" 
│ │ │ -000728c0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -000728d0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -000728e0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -000728f0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00072900: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00072910: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00072920: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -00072930: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00072940: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00072950: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00072960: 643d 2269 646d 3937 3436 223e 3c74 6162  d="idm9746"><tab
│ │ │ -00072970: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00072980: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00072990: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -000729a0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -000729b0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -000729c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000729d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000729e0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000729f0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00072a00: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00072a10: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00072a20: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00072a30: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00072a40: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00072a50: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00072a60: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ -00072a70: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ -00072a80: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ -00072a90: 6d6f 7665 206e 7470 6461 7465 0a23 0920  move ntpdate.#. 
│ │ │ -00072aa0: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ -00072ab0: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ -00072ac0: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ -00072ad0: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ -00072ae0: 6f6e 206e 7470 6461 7465 2e20 4578 6563  on ntpdate. Exec
│ │ │ -00072af0: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -00072b00: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -00072b10: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -00072b20: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -00072b30: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -00072b40: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -00072b50: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -00072b60: 2072 656d 6f76 6520 2d79 2022 6e74 7064   remove -y "ntpd
│ │ │ -00072b70: 6174 6522 0a3c 2f63 6f64 653e 3c2f 7072  ate".</code></pr
│ │ │ +000723d0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +000723e0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +000723f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00072400: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00072410: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00072420: 3d22 6964 6d39 3734 3422 3e3c 7461 626c  ="idm9744"><tabl
│ │ │ +00072430: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00072440: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00072450: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00072460: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00072470: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00072480: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00072490: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000724a0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +000724b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000724c0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +000724d0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +000724e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000724f0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00072500: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00072510: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00072520: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +00072530: 7265 206e 7470 6461 7465 2069 7320 7265  re ntpdate is re
│ │ │ +00072540: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +00072550: 0a20 2020 206e 616d 653a 206e 7470 6461  .    name: ntpda
│ │ │ +00072560: 7465 0a20 2020 2073 7461 7465 3a20 6162  te.    state: ab
│ │ │ +00072570: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +00072580: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +00072590: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +000725a0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +000725b0: 7275 7074 696f 6e0a 2020 2d20 6c6f 775f  ruption.  - low_
│ │ │ +000725c0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +000725d0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +000725e0: 2d20 7061 636b 6167 655f 6e74 7064 6174  - package_ntpdat
│ │ │ +000725f0: 655f 7265 6d6f 7665 640a 3c2f 636f 6465  e_removed.</code
│ │ │ +00072600: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00072610: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00072620: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00072630: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00072640: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00072650: 3937 3435 2220 7461 6269 6e64 6578 3d22  9745" tabindex="
│ │ │ +00072660: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00072670: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00072680: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00072690: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +000726a0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +000726b0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +000726c0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +000726d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000726e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000726f0: 7073 6522 2069 643d 2269 646d 3937 3435  pse" id="idm9745
│ │ │ +00072700: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00072710: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00072720: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00072730: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00072740: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00072750: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00072760: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00072770: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00072780: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00072790: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000727a0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000727b0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000727c0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +000727d0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +000727e0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +000727f0: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ +00072800: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ +00072810: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ +00072820: 696c 6c20 7265 6d6f 7665 206e 7470 6461  ill remove ntpda
│ │ │ +00072830: 7465 0a23 0920 2020 6672 6f6d 2074 6865  te.#.   from the
│ │ │ +00072840: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +00072850: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +00072860: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +00072870: 6570 656e 6420 6f6e 206e 7470 6461 7465  epend on ntpdate
│ │ │ +00072880: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00072890: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +000728a0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +000728b0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +000728c0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +000728d0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +000728e0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +000728f0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00072900: 2022 6e74 7064 6174 6522 0a3c 2f63 6f64   "ntpdate".</cod
│ │ │ +00072910: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00072920: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00072930: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00072940: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00072950: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00072960: 6d39 3734 3622 2074 6162 696e 6465 783d  m9746" tabindex=
│ │ │ +00072970: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00072980: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00072990: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +000729a0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +000729b0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +000729c0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +000729d0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +000729e0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000729f0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00072a00: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ +00072a10: 3734 3622 3e3c 7461 626c 6520 636c 6173  746"><table clas
│ │ │ +00072a20: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00072a30: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00072a40: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00072a50: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00072a60: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00072a70: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00072a80: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00072a90: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00072aa0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00072ab0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00072ac0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00072ad0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00072ae0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00072af0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00072b00: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00072b10: 636c 7564 6520 7265 6d6f 7665 5f6e 7470  clude remove_ntp
│ │ │ +00072b20: 6461 7465 0a0a 636c 6173 7320 7265 6d6f  date..class remo
│ │ │ +00072b30: 7665 5f6e 7470 6461 7465 207b 0a20 2070  ve_ntpdate {.  p
│ │ │ +00072b40: 6163 6b61 6765 207b 2027 6e74 7064 6174  ackage { 'ntpdat
│ │ │ +00072b50: 6527 3a0a 2020 2020 656e 7375 7265 203d  e':.    ensure =
│ │ │ +00072b60: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ +00072b70: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  00072b80: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  00072b90: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  00072ba0: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  00072bb0: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  00072bc0: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  00072bd0: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  00072be0: 756c 655f 7061 636b 6167 655f 7465 6c6e  ule_package_teln
│ │ │ @@ -29581,143 +29581,143 @@
│ │ │  000738c0: 7267 6574 3d22 2369 646d 3938 3435 2220  rget="#idm9845" 
│ │ │  000738d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  000738e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  000738f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00073900: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00073910: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00073920: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00073930: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00073940: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00073950: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00073960: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00073970: 2069 643d 2269 646d 3938 3435 223e 3c74   id="idm9845"><t
│ │ │ -00073980: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00073990: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000739a0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000739b0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -000739c0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -000739d0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -000739e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000739f0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00073a00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00073a10: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00073a20: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00073a30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00073a40: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00073a50: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00073a60: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00073a70: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -00073a80: 656d 6f76 655f 7465 6c6e 6574 642d 7373  emove_telnetd-ss
│ │ │ -00073a90: 6c0a 0a63 6c61 7373 2072 656d 6f76 655f  l..class remove_
│ │ │ -00073aa0: 7465 6c6e 6574 642d 7373 6c20 7b0a 2020  telnetd-ssl {.  
│ │ │ -00073ab0: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ -00073ac0: 7464 2d73 736c 273a 0a20 2020 2065 6e73  td-ssl':.    ens
│ │ │ -00073ad0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00073ae0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00073af0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00073b00: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00073b10: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00073b20: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00073b30: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00073b40: 3938 3436 2220 7461 6269 6e64 6578 3d22  9846" tabindex="
│ │ │ -00073b50: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00073b60: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00073b70: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00073b80: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00073b90: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00073ba0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00073bb0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00073bc0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00073bd0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00073be0: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ -00073bf0: 3834 3622 3e3c 7461 626c 6520 636c 6173  846"><table clas
│ │ │ -00073c00: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00073c10: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00073c20: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00073c30: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00073c40: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00073c50: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00073c60: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00073c70: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00073c80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00073c90: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00073ca0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00073cb0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00073cc0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00073cd0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00073ce0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00073cf0: 6e61 6d65 3a20 456e 7375 7265 2074 656c  name: Ensure tel
│ │ │ -00073d00: 6e65 7464 2d73 736c 2069 7320 7265 6d6f  netd-ssl is remo
│ │ │ -00073d10: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -00073d20: 2020 206e 616d 653a 2074 656c 6e65 7464     name: telnetd
│ │ │ -00073d30: 2d73 736c 0a20 2020 2073 7461 7465 3a20  -ssl.    state: 
│ │ │ -00073d40: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -00073d50: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00073d60: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -00073d70: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -00073d80: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00073d90: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ -00073da0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00073db0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -00073dc0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00073dd0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00073de0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -00073df0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00073e00: 6b61 6765 5f74 656c 6e65 7464 2d73 736c  kage_telnetd-ssl
│ │ │ -00073e10: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -00073e20: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00073e30: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00073e40: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00073e50: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00073e60: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00073e70: 3834 3722 2074 6162 696e 6465 783d 2230  847" tabindex="0
│ │ │ -00073e80: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00073e90: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00073ea0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00073eb0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00073ec0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00073ed0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -00073ee0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -00073ef0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00073f00: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00073f10: 7365 2220 6964 3d22 6964 6d39 3834 3722  se" id="idm9847"
│ │ │ -00073f20: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00073f30: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00073f40: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00073f50: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00073f60: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00073f70: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00073f80: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00073f90: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00073fa0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00073fb0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00073fc0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00073fd0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00073fe0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00073ff0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00074000: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00074010: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -00074020: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -00074030: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -00074040: 6c6c 2072 656d 6f76 6520 7465 6c6e 6574  ll remove telnet
│ │ │ -00074050: 642d 7373 6c0a 2309 2020 2066 726f 6d20  d-ssl.#.   from 
│ │ │ -00074060: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -00074070: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -00074080: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -00074090: 7420 6465 7065 6e64 206f 6e20 7465 6c6e  t depend on teln
│ │ │ -000740a0: 6574 642d 7373 6c2e 2045 7865 6375 7465  etd-ssl. Execute
│ │ │ -000740b0: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ -000740c0: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ -000740d0: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ -000740e0: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ -000740f0: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ -00074100: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -00074110: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ -00074120: 6d6f 7665 202d 7920 2274 656c 6e65 7464  move -y "telnetd
│ │ │ -00074130: 2d73 736c 220a 3c2f 636f 6465 3e3c 2f70  -ssl".</code></p
│ │ │ +00073930: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00073940: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00073950: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00073960: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00073970: 2220 6964 3d22 6964 6d39 3834 3522 3e3c  " id="idm9845"><
│ │ │ +00073980: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00073990: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000739a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000739b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000739c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +000739d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +000739e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000739f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00073a00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00073a10: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00073a20: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00073a30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00073a40: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00073a50: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00073a60: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00073a70: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00073a80: 456e 7375 7265 2074 656c 6e65 7464 2d73  Ensure telnetd-s
│ │ │ +00073a90: 736c 2069 7320 7265 6d6f 7665 640a 2020  sl is removed.  
│ │ │ +00073aa0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +00073ab0: 653a 2074 656c 6e65 7464 2d73 736c 0a20  e: telnetd-ssl. 
│ │ │ +00073ac0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +00073ad0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00073ae0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00073af0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00073b00: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +00073b10: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +00073b20: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00073b30: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +00073b40: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00073b50: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00073b60: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00073b70: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00073b80: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ +00073b90: 656c 6e65 7464 2d73 736c 5f72 656d 6f76  elnetd-ssl_remov
│ │ │ +00073ba0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00073bb0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00073bc0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00073bd0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00073be0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00073bf0: 6765 743d 2223 6964 6d39 3834 3622 2074  get="#idm9846" t
│ │ │ +00073c00: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00073c10: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00073c20: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00073c30: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00073c40: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00073c50: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00073c60: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +00073c70: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00073c80: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00073c90: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00073ca0: 3d22 6964 6d39 3834 3622 3e3c 7461 626c  ="idm9846"><tabl
│ │ │ +00073cb0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00073cc0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00073cd0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00073ce0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00073cf0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00073d00: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00073d10: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00073d20: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00073d30: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00073d40: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00073d50: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00073d60: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00073d70: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00073d80: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00073d90: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00073da0: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ +00073db0: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ +00073dc0: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ +00073dd0: 6f76 6520 7465 6c6e 6574 642d 7373 6c0a  ove telnetd-ssl.
│ │ │ +00073de0: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +00073df0: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +00073e00: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +00073e10: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +00073e20: 6e64 206f 6e20 7465 6c6e 6574 642d 7373  nd on telnetd-ss
│ │ │ +00073e30: 6c2e 2045 7865 6375 7465 2074 6869 730a  l. Execute this.
│ │ │ +00073e40: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +00073e50: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +00073e60: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +00073e70: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +00073e80: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +00073e90: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +00073ea0: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +00073eb0: 7920 2274 656c 6e65 7464 2d73 736c 220a  y "telnetd-ssl".
│ │ │ +00073ec0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00073ed0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00073ee0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00073ef0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00073f00: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00073f10: 3d22 2369 646d 3938 3437 2220 7461 6269  ="#idm9847" tabi
│ │ │ +00073f20: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00073f30: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00073f40: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00073f50: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00073f60: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00073f70: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00073f80: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00073f90: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00073fa0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00073fb0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00073fc0: 2269 646d 3938 3437 223e 3c74 6162 6c65  "idm9847"><table
│ │ │ +00073fd0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00073fe0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00073ff0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00074000: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00074010: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00074020: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00074030: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00074040: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00074050: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00074060: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00074070: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00074080: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00074090: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +000740a0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +000740b0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000740c0: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +000740d0: 655f 7465 6c6e 6574 642d 7373 6c0a 0a63  e_telnetd-ssl..c
│ │ │ +000740e0: 6c61 7373 2072 656d 6f76 655f 7465 6c6e  lass remove_teln
│ │ │ +000740f0: 6574 642d 7373 6c20 7b0a 2020 7061 636b  etd-ssl {.  pack
│ │ │ +00074100: 6167 6520 7b20 2774 656c 6e65 7464 2d73  age { 'telnetd-s
│ │ │ +00074110: 736c 273a 0a20 2020 2065 6e73 7572 6520  sl':.    ensure 
│ │ │ +00074120: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +00074130: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  00074140: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  00074150: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  00074160: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00074170: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  00074180: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  00074190: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  000741a0: 7275 6c65 5f70 6163 6b61 6765 5f74 656c  rule_package_tel
│ │ │ @@ -29928,141 +29928,141 @@
│ │ │  00074e70: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00074e80: 6964 6d39 3934 3522 2074 6162 696e 6465  idm9945" tabinde
│ │ │  00074e90: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00074ea0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  00074eb0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00074ec0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00074ed0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00074ee0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00074ef0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00074f00: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00074f10: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00074f20: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00074f30: 6d39 3934 3522 3e3c 7461 626c 6520 636c  m9945"><table cl
│ │ │ -00074f40: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00074f50: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00074f60: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00074f70: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00074f80: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00074f90: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00074fa0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00074fb0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00074fc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00074fd0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00074fe0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00074ff0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00075000: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00075010: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00075020: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00075030: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ -00075040: 656c 6e65 7464 0a0a 636c 6173 7320 7265  elnetd..class re
│ │ │ -00075050: 6d6f 7665 5f74 656c 6e65 7464 207b 0a20  move_telnetd {. 
│ │ │ -00075060: 2070 6163 6b61 6765 207b 2027 7465 6c6e   package { 'teln
│ │ │ -00075070: 6574 6427 3a0a 2020 2020 656e 7375 7265  etd':.    ensure
│ │ │ -00075080: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ -00075090: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -000750a0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -000750b0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -000750c0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -000750d0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -000750e0: 2d74 6172 6765 743d 2223 6964 6d39 3934  -target="#idm994
│ │ │ -000750f0: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ -00075100: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00075110: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00075120: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00075130: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00075140: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00075150: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00075160: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00075170: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00075180: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00075190: 7073 6522 2069 643d 2269 646d 3939 3436  pse" id="idm9946
│ │ │ -000751a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000751b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000751c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000751d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000751e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000751f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00075200: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00075210: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00075220: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00075230: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00075240: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00075250: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00075260: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00075270: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00075280: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00075290: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -000752a0: 653a 2045 6e73 7572 6520 7465 6c6e 6574  e: Ensure telnet
│ │ │ -000752b0: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -000752c0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -000752d0: 3a20 7465 6c6e 6574 640a 2020 2020 7374  : telnetd.    st
│ │ │ -000752e0: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ -000752f0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00075300: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00075310: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -00075320: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -00075330: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ -00075340: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -00075350: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -00075360: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -00075370: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00075380: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -00075390: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000753a0: 2d20 7061 636b 6167 655f 7465 6c6e 6574  - package_telnet
│ │ │ -000753b0: 645f 7265 6d6f 7665 640a 3c2f 636f 6465  d_removed.</code
│ │ │ -000753c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -000753d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000753e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000753f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00075400: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00075410: 3939 3437 2220 7461 6269 6e64 6578 3d22  9947" tabindex="
│ │ │ -00075420: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00075430: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00075440: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00075450: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00075460: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00075470: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00075480: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00075490: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -000754a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000754b0: 7073 6522 2069 643d 2269 646d 3939 3437  pse" id="idm9947
│ │ │ -000754c0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000754d0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000754e0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000754f0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00075500: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00075510: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00075520: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00075530: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00075540: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00075550: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00075560: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00075570: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00075580: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00075590: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -000755a0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -000755b0: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -000755c0: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -000755d0: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -000755e0: 696c 6c20 7265 6d6f 7665 2074 656c 6e65  ill remove telne
│ │ │ -000755f0: 7464 0a23 0920 2020 6672 6f6d 2074 6865  td.#.   from the
│ │ │ -00075600: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -00075610: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -00075620: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -00075630: 6570 656e 6420 6f6e 2074 656c 6e65 7464  epend on telnetd
│ │ │ -00075640: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00075650: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00075660: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00075670: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00075680: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -00075690: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -000756a0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -000756b0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -000756c0: 2022 7465 6c6e 6574 6422 0a3c 2f63 6f64   "telnetd".</cod
│ │ │ +00074ee0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00074ef0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00074f00: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00074f10: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00074f20: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00074f30: 646d 3939 3435 223e 3c74 6162 6c65 2063  dm9945"><table c
│ │ │ +00074f40: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00074f50: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00074f60: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00074f70: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00074f80: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00074f90: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00074fa0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00074fb0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00074fc0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00074fd0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00074fe0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00074ff0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00075000: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00075010: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00075020: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00075030: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +00075040: 7465 6c6e 6574 6420 6973 2072 656d 6f76  telnetd is remov
│ │ │ +00075050: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00075060: 2020 6e61 6d65 3a20 7465 6c6e 6574 640a    name: telnetd.
│ │ │ +00075070: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +00075080: 740a 2020 7461 6773 3a0a 2020 2d20 4e49  t.  tags:.  - NI
│ │ │ +00075090: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +000750a0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +000750b0: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ +000750c0: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ +000750d0: 290a 2020 2d20 6469 7361 626c 655f 7374  ).  - disable_st
│ │ │ +000750e0: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ +000750f0: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ +00075100: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00075110: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00075120: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00075130: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00075140: 7465 6c6e 6574 645f 7265 6d6f 7665 640a  telnetd_removed.
│ │ │ +00075150: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00075160: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00075170: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00075180: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00075190: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000751a0: 3d22 2369 646d 3939 3436 2220 7461 6269  ="#idm9946" tabi
│ │ │ +000751b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000751c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000751d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000751e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +000751f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00075200: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +00075210: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +00075220: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00075230: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00075240: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00075250: 646d 3939 3436 223e 3c74 6162 6c65 2063  dm9946"><table c
│ │ │ +00075260: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00075270: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00075280: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00075290: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000752a0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000752b0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000752c0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000752d0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +000752e0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000752f0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00075300: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00075310: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00075320: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00075330: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00075340: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00075350: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ +00075360: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +00075370: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +00075380: 2074 656c 6e65 7464 0a23 0920 2020 6672   telnetd.#.   fr
│ │ │ +00075390: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +000753a0: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +000753b0: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +000753c0: 7468 6174 2064 6570 656e 6420 6f6e 2074  that depend on t
│ │ │ +000753d0: 656c 6e65 7464 2e20 4578 6563 7574 6520  elnetd. Execute 
│ │ │ +000753e0: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ +000753f0: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ +00075400: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ +00075410: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ +00075420: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ +00075430: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +00075440: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ +00075450: 6f76 6520 2d79 2022 7465 6c6e 6574 6422  ove -y "telnetd"
│ │ │ +00075460: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00075470: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00075480: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00075490: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +000754a0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +000754b0: 743d 2223 6964 6d39 3934 3722 2074 6162  t="#idm9947" tab
│ │ │ +000754c0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +000754d0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +000754e0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000754f0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00075500: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00075510: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00075520: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00075530: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00075540: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00075550: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00075560: 3d22 6964 6d39 3934 3722 3e3c 7461 626c  ="idm9947"><tabl
│ │ │ +00075570: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00075580: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00075590: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000755a0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000755b0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000755c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000755d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000755e0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +000755f0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00075600: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00075610: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00075620: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00075630: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00075640: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00075650: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00075660: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +00075670: 7665 5f74 656c 6e65 7464 0a0a 636c 6173  ve_telnetd..clas
│ │ │ +00075680: 7320 7265 6d6f 7665 5f74 656c 6e65 7464  s remove_telnetd
│ │ │ +00075690: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +000756a0: 7465 6c6e 6574 6427 3a0a 2020 2020 656e  telnetd':.    en
│ │ │ +000756b0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +000756c0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  000756d0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  000756e0: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  000756f0: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  00075700: 7464 3e3c 2f74 723e 3c74 7220 6461 7461  td></tr><tr data
│ │ │  00075710: 2d74 742d 6964 3d22 6368 696c 6472 656e  -tt-id="children
│ │ │  00075720: 2d78 6363 6466 5f6f 7267 2e73 7367 7072  -xccdf_org.ssgpr
│ │ │  00075730: 6f6a 6563 742e 636f 6e74 656e 745f 6772  oject.content_gr
│ │ │ @@ -30510,179 +30510,179 @@
│ │ │  000772d0: 6765 743d 2223 6964 6d31 3033 3331 2220  get="#idm10331" 
│ │ │  000772e0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  000772f0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00077300: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00077310: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00077320: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00077330: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00077340: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -00077350: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -00077360: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00077370: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00077380: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00077390: 6964 6d31 3033 3331 223e 3c70 7265 3e3c  idm10331"><pre><
│ │ │ -000773a0: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -000773b0: 5d5d 0a6e 616d 6520 3d20 226e 7470 220a  ]].name = "ntp".
│ │ │ -000773c0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ -000773d0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -000773e0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -000773f0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00077400: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00077410: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00077420: 2369 646d 3130 3333 3222 2074 6162 696e  #idm10332" tabin
│ │ │ -00077430: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00077440: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00077450: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00077460: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00077470: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00077480: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00077490: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -000774a0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000774b0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -000774c0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -000774d0: 6964 6d31 3033 3332 223e 3c74 6162 6c65  idm10332"><table
│ │ │ -000774e0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -000774f0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00077500: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00077510: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00077520: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00077530: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00077540: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00077550: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00077560: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00077570: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00077580: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00077590: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000775a0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -000775b0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -000775c0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -000775d0: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ -000775e0: 6c5f 6e74 700a 0a63 6c61 7373 2069 6e73  l_ntp..class ins
│ │ │ -000775f0: 7461 6c6c 5f6e 7470 207b 0a20 2070 6163  tall_ntp {.  pac
│ │ │ -00077600: 6b61 6765 207b 2027 6e74 7027 3a0a 2020  kage { 'ntp':.  
│ │ │ -00077610: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00077620: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -00077630: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00077640: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00077650: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00077660: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00077670: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00077680: 6574 3d22 2369 646d 3130 3333 3322 2074  et="#idm10333" t
│ │ │ -00077690: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -000776a0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -000776b0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -000776c0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -000776d0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -000776e0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -000776f0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -00077700: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00077710: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00077720: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00077730: 2069 643d 2269 646d 3130 3333 3322 3e3c   id="idm10333"><
│ │ │ -00077740: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00077750: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00077760: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00077770: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00077780: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00077790: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -000777a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000777b0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -000777c0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000777d0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000777e0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000777f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077800: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00077810: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -00077820: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00077830: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -00077840: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00077850: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -00077860: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -00077870: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00077880: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00077890: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -000778a0: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ -000778b0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -000778c0: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -000778d0: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -000778e0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -000778f0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00077900: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00077910: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ -00077920: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -00077930: 6d65 3a20 456e 7375 7265 206e 7470 2069  me: Ensure ntp i
│ │ │ -00077940: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -00077950: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00077960: 206e 7470 0a20 2020 2073 7461 7465 3a20   ntp.    state: 
│ │ │ -00077970: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -00077980: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00077990: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -000779a0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -000779b0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000779c0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -000779d0: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ -000779e0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -000779f0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -00077a00: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -00077a10: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00077a20: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -00077a30: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00077a40: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ -00077a50: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ -00077a60: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077a70: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077a80: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077a90: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077aa0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -00077ab0: 3033 3334 2220 7461 6269 6e64 6578 3d22  0334" tabindex="
│ │ │ -00077ac0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00077ad0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00077ae0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00077af0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00077b00: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00077b10: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00077b20: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00077b30: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00077b40: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00077b50: 7073 6522 2069 643d 2269 646d 3130 3333  pse" id="idm1033
│ │ │ -00077b60: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ -00077b70: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00077b80: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00077b90: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00077ba0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00077bb0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00077bc0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00077bd0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00077be0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00077bf0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00077c00: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00077c10: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00077c20: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00077c30: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00077c40: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00077c50: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ -00077c60: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ -00077c70: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ -00077c80: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ -00077c90: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ -00077ca0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ -00077cb0: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ -00077cc0: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ -00077cd0: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ -00077ce0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -00077cf0: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ -00077d00: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -00077d10: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -00077d20: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ -00077d30: 202d 7920 226e 7470 220a 0a65 6c73 650a   -y "ntp"..else.
│ │ │ -00077d40: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -00077d50: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -00077d60: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -00077d70: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -00077d80: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +00077340: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00077350: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00077360: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00077370: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00077380: 2220 6964 3d22 6964 6d31 3033 3331 223e  " id="idm10331">
│ │ │ +00077390: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000773a0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000773b0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000773c0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000773d0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000773e0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000773f0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00077400: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00077410: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00077420: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00077430: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00077440: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00077450: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00077460: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00077470: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00077480: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00077490: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +000774a0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +000774b0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +000774c0: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +000774d0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +000774e0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +000774f0: 5043 492d 4453 532d 5265 712d 3130 2e34  PCI-DSS-Req-10.4
│ │ │ +00077500: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00077510: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +00077520: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +00077530: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00077540: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00077550: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00077560: 640a 2020 2d20 7061 636b 6167 655f 6e74  d.  - package_nt
│ │ │ +00077570: 705f 696e 7374 616c 6c65 640a 0a2d 206e  p_installed..- n
│ │ │ +00077580: 616d 653a 2045 6e73 7572 6520 6e74 7020  ame: Ensure ntp 
│ │ │ +00077590: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +000775a0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +000775b0: 3a20 6e74 700a 2020 2020 7374 6174 653a  : ntp.    state:
│ │ │ +000775c0: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ +000775d0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +000775e0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +000775f0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00077600: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00077610: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +00077620: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ +00077630: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +00077640: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +00077650: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +00077660: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00077670: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00077680: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00077690: 2020 2d20 7061 636b 6167 655f 6e74 705f    - package_ntp_
│ │ │ +000776a0: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +000776b0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +000776c0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +000776d0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +000776e0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +000776f0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00077700: 3130 3333 3222 2074 6162 696e 6465 783d  10332" tabindex=
│ │ │ +00077710: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00077720: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00077730: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00077740: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00077750: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00077760: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +00077770: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +00077780: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00077790: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000777a0: 6170 7365 2220 6964 3d22 6964 6d31 3033  apse" id="idm103
│ │ │ +000777b0: 3332 223e 3c74 6162 6c65 2063 6c61 7373  32"><table class
│ │ │ +000777c0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +000777d0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +000777e0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000777f0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00077800: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00077810: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00077820: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00077830: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00077840: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00077850: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00077860: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00077870: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00077880: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00077890: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000778a0: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ +000778b0: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ +000778c0: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ +000778d0: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ +000778e0: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ +000778f0: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ +00077900: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ +00077910: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ +00077920: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ +00077930: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ +00077940: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ +00077950: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ +00077960: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +00077970: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ +00077980: 6c20 2d79 2022 6e74 7022 0a0a 656c 7365  l -y "ntp"..else
│ │ │ +00077990: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +000779a0: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +000779b0: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +000779c0: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +000779d0: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +000779e0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +000779f0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00077a00: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00077a10: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00077a20: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00077a30: 3130 3333 3322 2074 6162 696e 6465 783d  10333" tabindex=
│ │ │ +00077a40: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00077a50: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00077a60: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00077a70: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00077a80: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00077a90: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +00077aa0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +00077ab0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00077ac0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00077ad0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00077ae0: 6522 2069 643d 2269 646d 3130 3333 3322  e" id="idm10333"
│ │ │ +00077af0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +00077b00: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +00077b10: 2022 6e74 7022 0a76 6572 7369 6f6e 203d   "ntp".version =
│ │ │ +00077b20: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │ +00077b30: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00077b40: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00077b50: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00077b60: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00077b70: 6172 6765 743d 2223 6964 6d31 3033 3334  arget="#idm10334
│ │ │ +00077b80: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00077b90: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00077ba0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00077bb0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00077bc0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00077bd0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00077be0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00077bf0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00077c00: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00077c10: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00077c20: 6522 2069 643d 2269 646d 3130 3333 3422  e" id="idm10334"
│ │ │ +00077c30: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00077c40: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00077c50: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00077c60: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00077c70: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00077c80: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00077c90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00077ca0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00077cb0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00077cc0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00077cd0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00077ce0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00077cf0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00077d00: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00077d10: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00077d20: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00077d30: 2069 6e73 7461 6c6c 5f6e 7470 0a0a 636c   install_ntp..cl
│ │ │ +00077d40: 6173 7320 696e 7374 616c 6c5f 6e74 7020  ass install_ntp 
│ │ │ +00077d50: 7b0a 2020 7061 636b 6167 6520 7b20 276e  {.  package { 'n
│ │ │ +00077d60: 7470 273a 0a20 2020 2065 6e73 7572 6520  tp':.    ensure 
│ │ │ +00077d70: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +00077d80: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00077d90: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00077da0: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00077db0: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00077dc0: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00077dd0: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  00077de0: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  00077df0: 6e74 5f72 756c 655f 7365 7276 6963 655f  nt_rule_service_
│ │ │ @@ -30910,157 +30910,157 @@
│ │ │  00078bd0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  00078be0: 6d31 3034 3034 2220 7461 6269 6e64 6578  m10404" tabindex
│ │ │  00078bf0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  00078c00: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  00078c10: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00078c20: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00078c30: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00078c40: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ -00078c50: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ -00078c60: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00078c70: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00078c80: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00078c90: 7365 2220 6964 3d22 6964 6d31 3034 3034  se" id="idm10404
│ │ │ -00078ca0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -00078cb0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -00078cc0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -00078cd0: 3d20 5b22 6e74 7022 5d0a 3c2f 636f 6465  = ["ntp"].</code
│ │ │ -00078ce0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00078cf0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00078d00: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00078d10: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00078d20: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00078d30: 3130 3430 3522 2074 6162 696e 6465 783d  10405" tabindex=
│ │ │ -00078d40: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00078d50: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00078d60: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00078d70: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00078d80: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00078d90: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00078da0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00078db0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00078dc0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00078dd0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00078de0: 3034 3035 223e 3c74 6162 6c65 2063 6c61  0405"><table cla
│ │ │ -00078df0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00078e00: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00078e10: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00078e20: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00078e30: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00078e40: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00078e50: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00078e60: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00078e70: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00078e80: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00078e90: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00078ea0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00078eb0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00078ec0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00078ed0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00078ee0: 636c 7564 6520 656e 6162 6c65 5f6e 7470  clude enable_ntp
│ │ │ -00078ef0: 0a0a 636c 6173 7320 656e 6162 6c65 5f6e  ..class enable_n
│ │ │ -00078f00: 7470 207b 0a20 2073 6572 7669 6365 207b  tp {.  service {
│ │ │ -00078f10: 276e 7470 273a 0a20 2020 2065 6e61 626c  'ntp':.    enabl
│ │ │ -00078f20: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ -00078f30: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00078f40: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ -00078f50: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00078f60: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00078f70: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00078f80: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00078f90: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00078fa0: 3d22 2369 646d 3130 3430 3622 2074 6162  ="#idm10406" tab
│ │ │ -00078fb0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00078fc0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00078fd0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00078fe0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00078ff0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00079000: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00079010: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00079020: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00079030: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00079040: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00079050: 643d 2269 646d 3130 3430 3622 3e3c 7461  d="idm10406"><ta
│ │ │ -00079060: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00079070: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00079080: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00079090: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -000790a0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -000790b0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000790c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000790d0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000790e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000790f0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00079100: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00079110: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079120: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00079130: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00079140: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00079150: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -00079160: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00079170: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00079180: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00079190: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -000791a0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000791b0: 2d41 552d 3828 3129 2861 290a 2020 2d20  -AU-8(1)(a).  - 
│ │ │ -000791c0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000791d0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ -000791e0: 5265 712d 3130 2e34 0a20 202d 2050 4349  Req-10.4.  - PCI
│ │ │ -000791f0: 2d44 5353 7634 2d31 302e 360a 2020 2d20  -DSSv4-10.6.  - 
│ │ │ -00079200: 5043 492d 4453 5376 342d 3130 2e36 2e31  PCI-DSSv4-10.6.1
│ │ │ -00079210: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -00079220: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -00079230: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -00079240: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00079250: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00079260: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00079270: 640a 2020 2d20 7365 7276 6963 655f 6e74  d.  - service_nt
│ │ │ -00079280: 705f 656e 6162 6c65 640a 0a2d 206e 616d  p_enabled..- nam
│ │ │ -00079290: 653a 2045 6e61 626c 6520 7468 6520 4e54  e: Enable the NT
│ │ │ -000792a0: 5020 4461 656d 6f6e 202d 2045 6e61 626c  P Daemon - Enabl
│ │ │ -000792b0: 6520 7365 7276 6963 6520 6e74 700a 2020  e service ntp.  
│ │ │ -000792c0: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ -000792d0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000792e0: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ -000792f0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -00079300: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -00079310: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ -00079320: 626c 6520 7468 6520 4e54 5020 4461 656d  ble the NTP Daem
│ │ │ -00079330: 6f6e 202d 2045 6e61 626c 6520 5365 7276  on - Enable Serv
│ │ │ -00079340: 6963 6520 6e74 700a 2020 2020 616e 7369  ice ntp.    ansi
│ │ │ -00079350: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ -00079360: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ -00079370: 206e 7470 0a20 2020 2020 2065 6e61 626c   ntp.      enabl
│ │ │ -00079380: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ -00079390: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ -000793a0: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ -000793b0: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ -000793c0: 2d20 2722 6e74 7022 2069 6e20 616e 7369  - '"ntp" in ansi
│ │ │ -000793d0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000793e0: 6573 270a 2020 7768 656e 3a0a 2020 2d20  es'.  when:.  - 
│ │ │ -000793f0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00079400: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00079410: 6163 6b61 6765 7327 0a20 202d 2027 226e  ackages'.  - '"n
│ │ │ -00079420: 7470 2220 696e 2061 6e73 6962 6c65 5f66  tp" in ansible_f
│ │ │ -00079430: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00079440: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00079450: 3830 302d 3533 2d41 552d 3828 3129 2861  800-53-AU-8(1)(a
│ │ │ -00079460: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00079470: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -00079480: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -00079490: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -000794a0: 360a 2020 2d20 5043 492d 4453 5376 342d  6.  - PCI-DSSv4-
│ │ │ -000794b0: 3130 2e36 2e31 0a20 202d 2065 6e61 626c  10.6.1.  - enabl
│ │ │ -000794c0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -000794d0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -000794e0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -000794f0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00079500: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00079510: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00079520: 6963 655f 6e74 705f 656e 6162 6c65 640a  ice_ntp_enabled.
│ │ │ +00078c40: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00078c50: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00078c60: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00078c70: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00078c80: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00078c90: 6d31 3034 3034 223e 3c74 6162 6c65 2063  m10404"><table c
│ │ │ +00078ca0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00078cb0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00078cc0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00078cd0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00078ce0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00078cf0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00078d00: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00078d10: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00078d20: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00078d30: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00078d40: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00078d50: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00078d60: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00078d70: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00078d80: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00078d90: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00078da0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00078db0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00078dc0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00078dd0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00078de0: 4e49 5354 2d38 3030 2d35 332d 4155 2d38  NIST-800-53-AU-8
│ │ │ +00078df0: 2831 2928 6129 0a20 202d 204e 4953 542d  (1)(a).  - NIST-
│ │ │ +00078e00: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00078e10: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +00078e20: 302e 340a 2020 2d20 5043 492d 4453 5376  0.4.  - PCI-DSSv
│ │ │ +00078e30: 342d 3130 2e36 0a20 202d 2050 4349 2d44  4-10.6.  - PCI-D
│ │ │ +00078e40: 5353 7634 2d31 302e 362e 310a 2020 2d20  SSv4-10.6.1.  - 
│ │ │ +00078e50: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00078e60: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +00078e70: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00078e80: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00078e90: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00078ea0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00078eb0: 2073 6572 7669 6365 5f6e 7470 5f65 6e61   service_ntp_ena
│ │ │ +00078ec0: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ +00078ed0: 6162 6c65 2074 6865 204e 5450 2044 6165  able the NTP Dae
│ │ │ +00078ee0: 6d6f 6e20 2d20 456e 6162 6c65 2073 6572  mon - Enable ser
│ │ │ +00078ef0: 7669 6365 206e 7470 0a20 2062 6c6f 636b  vice ntp.  block
│ │ │ +00078f00: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +00078f10: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00078f20: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +00078f30: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +00078f40: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +00078f50: 2d20 6e61 6d65 3a20 456e 6162 6c65 2074  - name: Enable t
│ │ │ +00078f60: 6865 204e 5450 2044 6165 6d6f 6e20 2d20  he NTP Daemon - 
│ │ │ +00078f70: 456e 6162 6c65 2053 6572 7669 6365 206e  Enable Service n
│ │ │ +00078f80: 7470 0a20 2020 2061 6e73 6962 6c65 2e62  tp.    ansible.b
│ │ │ +00078f90: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ +00078fa0: 2020 2020 2020 6e61 6d65 3a20 6e74 700a        name: ntp.
│ │ │ +00078fb0: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +00078fc0: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +00078fd0: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +00078fe0: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +00078ff0: 2077 6865 6e3a 0a20 2020 202d 2027 226e   when:.    - '"n
│ │ │ +00079000: 7470 2220 696e 2061 6e73 6962 6c65 5f66  tp" in ansible_f
│ │ │ +00079010: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00079020: 2077 6865 6e3a 0a20 202d 2027 226c 696e   when:.  - '"lin
│ │ │ +00079030: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00079040: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00079050: 6573 270a 2020 2d20 2722 6e74 7022 2069  es'.  - '"ntp" i
│ │ │ +00079060: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00079070: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00079080: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00079090: 332d 4155 2d38 2831 2928 6129 0a20 202d  3-AU-8(1)(a).  -
│ │ │ +000790a0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +000790b0: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +000790c0: 2d52 6571 2d31 302e 340a 2020 2d20 5043  -Req-10.4.  - PC
│ │ │ +000790d0: 492d 4453 5376 342d 3130 2e36 0a20 202d  I-DSSv4-10.6.  -
│ │ │ +000790e0: 2050 4349 2d44 5353 7634 2d31 302e 362e   PCI-DSSv4-10.6.
│ │ │ +000790f0: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ +00079100: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +00079110: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00079120: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00079130: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00079140: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00079150: 6564 0a20 202d 2073 6572 7669 6365 5f6e  ed.  - service_n
│ │ │ +00079160: 7470 5f65 6e61 626c 6564 0a3c 2f63 6f64  tp_enabled.</cod
│ │ │ +00079170: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00079180: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00079190: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +000791a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +000791b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +000791c0: 6d31 3034 3035 2220 7461 6269 6e64 6578  m10405" tabindex
│ │ │ +000791d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +000791e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +000791f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00079200: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00079210: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00079220: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00079230: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00079240: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00079250: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00079260: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00079270: 7365 2220 6964 3d22 6964 6d31 3034 3035  se" id="idm10405
│ │ │ +00079280: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +00079290: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +000792a0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +000792b0: 3d20 5b22 6e74 7022 5d0a 3c2f 636f 6465  = ["ntp"].</code
│ │ │ +000792c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +000792d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +000792e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +000792f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00079300: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00079310: 3130 3430 3622 2074 6162 696e 6465 783d  10406" tabindex=
│ │ │ +00079320: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00079330: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00079340: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00079350: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00079360: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00079370: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00079380: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00079390: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000793a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000793b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +000793c0: 3034 3036 223e 3c74 6162 6c65 2063 6c61  0406"><table cla
│ │ │ +000793d0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000793e0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000793f0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00079400: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00079410: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00079420: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00079430: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00079440: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00079450: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00079460: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00079470: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00079480: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00079490: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +000794a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +000794b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +000794c0: 636c 7564 6520 656e 6162 6c65 5f6e 7470  clude enable_ntp
│ │ │ +000794d0: 0a0a 636c 6173 7320 656e 6162 6c65 5f6e  ..class enable_n
│ │ │ +000794e0: 7470 207b 0a20 2073 6572 7669 6365 207b  tp {.  service {
│ │ │ +000794f0: 276e 7470 273a 0a20 2020 2065 6e61 626c  'ntp':.    enabl
│ │ │ +00079500: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +00079510: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00079520: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │  00079530: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00079540: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00079550: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00079560: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00079570: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  00079580: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  00079590: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -34652,204 +34652,204 @@
│ │ │  000875b0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  000875c0: 2223 6964 6d31 3334 3039 2220 7461 6269  "#idm13409" tabi
│ │ │  000875d0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  000875e0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  000875f0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  00087600: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  00087610: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00087620: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -00087630: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -00087640: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00087650: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00087660: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00087670: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00087680: 3334 3039 223e 3c70 7265 3e3c 636f 6465  3409"><pre><code
│ │ │ -00087690: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -000876a0: 616d 6520 3d20 2261 7564 6974 6422 0a76  ame = "auditd".v
│ │ │ -000876b0: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -000876c0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -000876d0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -000876e0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -000876f0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00087700: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00087710: 6964 6d31 3334 3130 2220 7461 6269 6e64  idm13410" tabind
│ │ │ -00087720: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00087730: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00087740: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00087750: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00087760: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00087770: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -00087780: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00087790: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000877a0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000877b0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000877c0: 646d 3133 3431 3022 3e3c 7461 626c 6520  dm13410"><table 
│ │ │ -000877d0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -000877e0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -000877f0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00087800: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00087810: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00087820: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00087830: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00087840: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00087850: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00087860: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00087870: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00087880: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00087890: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -000878a0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000878b0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -000878c0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -000878d0: 5f61 7564 6974 640a 0a63 6c61 7373 2069  _auditd..class i
│ │ │ -000878e0: 6e73 7461 6c6c 5f61 7564 6974 6420 7b0a  nstall_auditd {.
│ │ │ -000878f0: 2020 7061 636b 6167 6520 7b20 2761 7564    package { 'aud
│ │ │ -00087900: 6974 6427 3a0a 2020 2020 656e 7375 7265  itd':.    ensure
│ │ │ -00087910: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ -00087920: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00087930: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00087940: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00087950: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00087960: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00087970: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00087980: 3133 3431 3122 2074 6162 696e 6465 783d  13411" tabindex=
│ │ │ -00087990: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -000879a0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -000879b0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -000879c0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -000879d0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -000879e0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -000879f0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00087a00: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00087a10: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00087a20: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00087a30: 3133 3431 3122 3e3c 7461 626c 6520 636c  13411"><table cl
│ │ │ -00087a40: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00087a50: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00087a60: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00087a70: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00087a80: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00087a90: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00087aa0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00087ab0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00087ac0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00087ad0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00087ae0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00087af0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00087b00: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00087b10: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00087b20: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00087b30: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00087b40: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00087b50: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00087b60: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00087b70: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00087b80: 4953 542d 3830 302d 3533 2d41 432d 3728  IST-800-53-AC-7(
│ │ │ -00087b90: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00087ba0: 3533 2d41 552d 3132 2832 290a 2020 2d20  53-AU-12(2).  - 
│ │ │ -00087bb0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -00087bc0: 340a 2020 2d20 4e49 5354 2d38 3030 2d35  4.  - NIST-800-5
│ │ │ -00087bd0: 332d 4155 2d32 2861 290a 2020 2d20 4e49  3-AU-2(a).  - NI
│ │ │ -00087be0: 5354 2d38 3030 2d35 332d 4155 2d37 2831  ST-800-53-AU-7(1
│ │ │ -00087bf0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00087c00: 332d 4155 2d37 2832 290a 2020 2d20 4e49  3-AU-7(2).  - NI
│ │ │ -00087c10: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00087c20: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -00087c30: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ -00087c40: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ -00087c50: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ -00087c60: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00087c70: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00087c80: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00087c90: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00087ca0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00087cb0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00087cc0: 640a 2020 2d20 7061 636b 6167 655f 6175  d.  - package_au
│ │ │ -00087cd0: 6469 745f 696e 7374 616c 6c65 640a 0a2d  dit_installed..-
│ │ │ -00087ce0: 206e 616d 653a 2045 6e73 7572 6520 6175   name: Ensure au
│ │ │ -00087cf0: 6469 7464 2069 7320 696e 7374 616c 6c65  ditd is installe
│ │ │ -00087d00: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00087d10: 206e 616d 653a 2061 7564 6974 640a 2020   name: auditd.  
│ │ │ -00087d20: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00087d30: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00087d40: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00087d50: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00087d60: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00087d70: 5354 2d38 3030 2d35 332d 4143 2d37 2861  ST-800-53-AC-7(a
│ │ │ -00087d80: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00087d90: 332d 4155 2d31 3228 3229 0a20 202d 204e  3-AU-12(2).  - N
│ │ │ -00087da0: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -00087db0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00087dc0: 2d41 552d 3228 6129 0a20 202d 204e 4953  -AU-2(a).  - NIS
│ │ │ -00087dd0: 542d 3830 302d 3533 2d41 552d 3728 3129  T-800-53-AU-7(1)
│ │ │ -00087de0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00087df0: 2d41 552d 3728 3229 0a20 202d 204e 4953  -AU-7(2).  - NIS
│ │ │ -00087e00: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00087e10: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -00087e20: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -00087e30: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -00087e40: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -00087e50: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00087e60: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00087e70: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00087e80: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00087e90: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00087ea0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00087eb0: 0a20 202d 2070 6163 6b61 6765 5f61 7564  .  - package_aud
│ │ │ -00087ec0: 6974 5f69 6e73 7461 6c6c 6564 0a3c 2f63  it_installed.</c
│ │ │ -00087ed0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00087ee0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00087ef0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00087f00: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00087f10: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00087f20: 6964 6d31 3334 3132 2220 7461 6269 6e64  idm13412" tabind
│ │ │ -00087f30: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00087f40: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00087f50: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00087f60: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00087f70: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00087f80: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -00087f90: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -00087fa0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00087fb0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00087fc0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00087fd0: 3133 3431 3222 3e3c 7461 626c 6520 636c  13412"><table cl
│ │ │ -00087fe0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00087ff0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00088000: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00088010: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00088020: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00088030: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00088040: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00088050: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00088060: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00088070: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00088080: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00088090: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000880a0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -000880b0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -000880c0: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ -000880d0: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ -000880e0: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ -000880f0: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ -00088100: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565  orms.if dpkg-que
│ │ │ -00088110: 7279 202d 2d73 686f 7720 2d2d 7368 6f77  ry --show --show
│ │ │ -00088120: 666f 726d 6174 3d27 247b 6462 3a53 7461  format='${db:Sta
│ │ │ -00088130: 7475 732d 5374 6174 7573 7d0a 2720 276c  tus-Status}.' 'l
│ │ │ -00088140: 696e 7578 2d62 6173 6527 2032 2667 743b  inux-base' 2&gt;
│ │ │ -00088150: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570  /dev/null | grep
│ │ │ -00088160: 202d 7120 5e69 6e73 7461 6c6c 6564 3b20   -q ^installed; 
│ │ │ -00088170: 7468 656e 0a0a 4445 4249 414e 5f46 524f  then..DEBIAN_FRO
│ │ │ -00088180: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -00088190: 7469 7665 2061 7074 2d67 6574 2069 6e73  tive apt-get ins
│ │ │ -000881a0: 7461 6c6c 202d 7920 2261 7564 6974 6422  tall -y "auditd"
│ │ │ -000881b0: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ -000881c0: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ -000881d0: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ -000881e0: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ -000881f0: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +00087620: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00087630: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00087640: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00087650: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00087660: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00087670: 3d22 6964 6d31 3334 3039 223e 3c74 6162  ="idm13409"><tab
│ │ │ +00087680: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00087690: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +000876a0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +000876b0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +000876c0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +000876d0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000876e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000876f0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00087700: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00087710: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00087720: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00087730: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00087740: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00087750: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00087760: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00087770: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +00087780: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +00087790: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +000877a0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +000877b0: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +000877c0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000877d0: 4143 2d37 2861 290a 2020 2d20 4e49 5354  AC-7(a).  - NIST
│ │ │ +000877e0: 2d38 3030 2d35 332d 4155 2d31 3228 3229  -800-53-AU-12(2)
│ │ │ +000877f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00087800: 2d41 552d 3134 0a20 202d 204e 4953 542d  -AU-14.  - NIST-
│ │ │ +00087810: 3830 302d 3533 2d41 552d 3228 6129 0a20  800-53-AU-2(a). 
│ │ │ +00087820: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00087830: 552d 3728 3129 0a20 202d 204e 4953 542d  U-7(1).  - NIST-
│ │ │ +00087840: 3830 302d 3533 2d41 552d 3728 3229 0a20  800-53-AU-7(2). 
│ │ │ +00087850: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00087860: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +00087870: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ +00087880: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ +00087890: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +000878a0: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ +000878b0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +000878c0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +000878d0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +000878e0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +000878f0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00087900: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00087910: 6765 5f61 7564 6974 5f69 6e73 7461 6c6c  ge_audit_install
│ │ │ +00087920: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +00087930: 7265 2061 7564 6974 6420 6973 2069 6e73  re auditd is ins
│ │ │ +00087940: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ +00087950: 3a0a 2020 2020 6e61 6d65 3a20 6175 6469  :.    name: audi
│ │ │ +00087960: 7464 0a20 2020 2073 7461 7465 3a20 7072  td.    state: pr
│ │ │ +00087970: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +00087980: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +00087990: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +000879a0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +000879b0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +000879c0: 432d 3728 6129 0a20 202d 204e 4953 542d  C-7(a).  - NIST-
│ │ │ +000879d0: 3830 302d 3533 2d41 552d 3132 2832 290a  800-53-AU-12(2).
│ │ │ +000879e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000879f0: 4155 2d31 340a 2020 2d20 4e49 5354 2d38  AU-14.  - NIST-8
│ │ │ +00087a00: 3030 2d35 332d 4155 2d32 2861 290a 2020  00-53-AU-2(a).  
│ │ │ +00087a10: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00087a20: 2d37 2831 290a 2020 2d20 4e49 5354 2d38  -7(1).  - NIST-8
│ │ │ +00087a30: 3030 2d35 332d 4155 2d37 2832 290a 2020  00-53-AU-7(2).  
│ │ │ +00087a40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00087a50: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +00087a60: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ +00087a70: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ +00087a80: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +00087a90: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +00087aa0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00087ab0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00087ac0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00087ad0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00087ae0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00087af0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00087b00: 655f 6175 6469 745f 696e 7374 616c 6c65  e_audit_installe
│ │ │ +00087b10: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00087b20: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00087b30: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00087b40: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00087b50: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00087b60: 6574 3d22 2369 646d 3133 3431 3022 2074  et="#idm13410" t
│ │ │ +00087b70: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00087b80: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00087b90: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00087ba0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00087bb0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00087bc0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00087bd0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +00087be0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00087bf0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00087c00: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00087c10: 3d22 6964 6d31 3334 3130 223e 3c74 6162  ="idm13410"><tab
│ │ │ +00087c20: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00087c30: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00087c40: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00087c50: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00087c60: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00087c70: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00087c80: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00087c90: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00087ca0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00087cb0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00087cc0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00087cd0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00087ce0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00087cf0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00087d00: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00087d10: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ +00087d20: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ +00087d30: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ +00087d40: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ +00087d50: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ +00087d60: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ +00087d70: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ +00087d80: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ +00087d90: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ +00087da0: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ +00087db0: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ +00087dc0: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +00087dd0: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +00087de0: 7420 696e 7374 616c 6c20 2d79 2022 6175  t install -y "au
│ │ │ +00087df0: 6469 7464 220a 0a65 6c73 650a 2020 2020  ditd"..else.    
│ │ │ +00087e00: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ +00087e10: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ +00087e20: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ +00087e30: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ +00087e40: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +00087e50: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00087e60: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00087e70: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00087e80: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00087e90: 6172 6765 743d 2223 6964 6d31 3334 3131  arget="#idm13411
│ │ │ +00087ea0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00087eb0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00087ec0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00087ed0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00087ee0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00087ef0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00087f00: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +00087f10: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +00087f20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00087f30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00087f40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00087f50: 3d22 6964 6d31 3334 3131 223e 3c70 7265  ="idm13411"><pre
│ │ │ +00087f60: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ +00087f70: 6573 5d5d 0a6e 616d 6520 3d20 2261 7564  es]].name = "aud
│ │ │ +00087f80: 6974 6422 0a76 6572 7369 6f6e 203d 2022  itd".version = "
│ │ │ +00087f90: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ +00087fa0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00087fb0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00087fc0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00087fd0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00087fe0: 6765 743d 2223 6964 6d31 3334 3132 2220  get="#idm13412" 
│ │ │ +00087ff0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00088000: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00088010: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00088020: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00088030: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00088040: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00088050: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00088060: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00088070: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00088080: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00088090: 2069 643d 2269 646d 3133 3431 3222 3e3c   id="idm13412"><
│ │ │ +000880a0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +000880b0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000880c0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000880d0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000880e0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +000880f0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00088100: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00088110: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00088120: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00088130: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00088140: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00088150: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00088160: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00088170: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00088180: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00088190: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ +000881a0: 6e73 7461 6c6c 5f61 7564 6974 640a 0a63  nstall_auditd..c
│ │ │ +000881b0: 6c61 7373 2069 6e73 7461 6c6c 5f61 7564  lass install_aud
│ │ │ +000881c0: 6974 6420 7b0a 2020 7061 636b 6167 6520  itd {.  package 
│ │ │ +000881d0: 7b20 2761 7564 6974 6427 3a0a 2020 2020  { 'auditd':.    
│ │ │ +000881e0: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ +000881f0: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │  00088200: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00088210: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00088220: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00088230: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00088240: 2064 6174 612d 7474 2d69 643d 2278 6363   data-tt-id="xcc
│ │ │  00088250: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  00088260: 742e 636f 6e74 656e 745f 7275 6c65 5f73  t.content_rule_s
│ │ │ @@ -35260,190 +35260,190 @@
│ │ │  00089bb0: 7267 6574 3d22 2369 646d 3133 3631 3022  rget="#idm13610"
│ │ │  00089bc0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00089bd0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00089be0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00089bf0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00089c00: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00089c10: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00089c20: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00089c30: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00089c40: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00089c50: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00089c60: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00089c70: 2269 646d 3133 3631 3022 3e3c 7072 653e  "idm13610"><pre>
│ │ │ -00089c80: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ -00089c90: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ -00089ca0: 0a65 6e61 626c 6564 203d 205b 2261 7564  .enabled = ["aud
│ │ │ -00089cb0: 6974 6422 5d0a 3c2f 636f 6465 3e3c 2f70  itd"].</code></p
│ │ │ -00089cc0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00089cd0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00089ce0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00089cf0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00089d00: 7461 7267 6574 3d22 2369 646d 3133 3631  target="#idm1361
│ │ │ -00089d10: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ -00089d20: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00089d30: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00089d40: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00089d50: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00089d60: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00089d70: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00089d80: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00089d90: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00089da0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00089db0: 7365 2220 6964 3d22 6964 6d31 3336 3131  se" id="idm13611
│ │ │ -00089dc0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00089dd0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00089de0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00089df0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00089e00: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00089e10: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00089e20: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00089e30: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00089e40: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00089e50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00089e60: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00089e70: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00089e80: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00089e90: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00089ea0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00089eb0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00089ec0: 6520 656e 6162 6c65 5f61 7564 6974 640a  e enable_auditd.
│ │ │ -00089ed0: 0a63 6c61 7373 2065 6e61 626c 655f 6175  .class enable_au
│ │ │ -00089ee0: 6469 7464 207b 0a20 2073 6572 7669 6365  ditd {.  service
│ │ │ -00089ef0: 207b 2761 7564 6974 6427 3a0a 2020 2020   {'auditd':.    
│ │ │ -00089f00: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ -00089f10: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ -00089f20: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ -00089f30: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00089f40: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00089f50: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00089f60: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00089f70: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00089f80: 6172 6765 743d 2223 6964 6d31 3336 3132  arget="#idm13612
│ │ │ -00089f90: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00089fa0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00089fb0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00089fc0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00089fd0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00089fe0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00089ff0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -0008a000: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0008a010: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0008a020: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0008a030: 7365 2220 6964 3d22 6964 6d31 3336 3132  se" id="idm13612
│ │ │ -0008a040: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0008a050: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0008a060: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0008a070: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0008a080: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0008a090: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0008a0a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0008a0b0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0008a0c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0008a0d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0008a0e0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0008a0f0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0008a100: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0008a110: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -0008a120: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0008a130: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0008a140: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -0008a150: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -0008a160: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -0008a170: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -0008a180: 7461 6773 3a0a 2020 2d20 434a 4953 2d35  tags:.  - CJIS-5
│ │ │ -0008a190: 2e34 2e31 2e31 0a20 202d 204e 4953 542d  .4.1.1.  - NIST-
│ │ │ -0008a1a0: 3830 302d 3137 312d 332e 332e 310a 2020  800-171-3.3.1.  
│ │ │ -0008a1b0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -0008a1c0: 2e33 2e32 0a20 202d 204e 4953 542d 3830  .3.2.  - NIST-80
│ │ │ -0008a1d0: 302d 3137 312d 332e 332e 360a 2020 2d20  0-171-3.3.6.  - 
│ │ │ -0008a1e0: 4e49 5354 2d38 3030 2d35 332d 4143 2d32  NIST-800-53-AC-2
│ │ │ -0008a1f0: 2867 290a 2020 2d20 4e49 5354 2d38 3030  (g).  - NIST-800
│ │ │ -0008a200: 2d35 332d 4143 2d36 2839 290a 2020 2d20  -53-AC-6(9).  - 
│ │ │ -0008a210: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -0008a220: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -0008a230: 332d 4155 2d31 3228 6329 0a20 202d 204e  3-AU-12(c).  - N
│ │ │ -0008a240: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -0008a250: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ -0008a260: 2d35 332d 4155 2d32 2864 290a 2020 2d20  -53-AU-2(d).  - 
│ │ │ -0008a270: 4e49 5354 2d38 3030 2d35 332d 4155 2d33  NIST-800-53-AU-3
│ │ │ -0008a280: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008a290: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ -0008a2a0: 542d 3830 302d 3533 2d53 492d 3428 3233  T-800-53-SI-4(23
│ │ │ -0008a2b0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -0008a2c0: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ -0008a2d0: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ -0008a2e0: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ -0008a2f0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -0008a300: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -0008a310: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0008a320: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -0008a330: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -0008a340: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0008a350: 640a 2020 2d20 7365 7276 6963 655f 6175  d.  - service_au
│ │ │ -0008a360: 6469 7464 5f65 6e61 626c 6564 0a0a 2d20  ditd_enabled..- 
│ │ │ -0008a370: 6e61 6d65 3a20 456e 6162 6c65 2061 7564  name: Enable aud
│ │ │ -0008a380: 6974 6420 5365 7276 6963 6520 2d20 456e  itd Service - En
│ │ │ -0008a390: 6162 6c65 2073 6572 7669 6365 2061 7564  able service aud
│ │ │ -0008a3a0: 6974 640a 2020 626c 6f63 6b3a 0a0a 2020  itd.  block:..  
│ │ │ -0008a3b0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -0008a3c0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -0008a3d0: 0a20 2020 2070 6163 6b61 6765 5f66 6163  .    package_fac
│ │ │ -0008a3e0: 7473 3a0a 2020 2020 2020 6d61 6e61 6765  ts:.      manage
│ │ │ -0008a3f0: 723a 2061 7574 6f0a 0a20 202d 206e 616d  r: auto..  - nam
│ │ │ -0008a400: 653a 2045 6e61 626c 6520 6175 6469 7464  e: Enable auditd
│ │ │ -0008a410: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ -0008a420: 6520 5365 7276 6963 6520 6175 6469 7464  e Service auditd
│ │ │ -0008a430: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ -0008a440: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ -0008a450: 2020 2020 6e61 6d65 3a20 6175 6469 7464      name: auditd
│ │ │ -0008a460: 0a20 2020 2020 2065 6e61 626c 6564 3a20  .      enabled: 
│ │ │ -0008a470: 7472 7565 0a20 2020 2020 2073 7461 7465  true.      state
│ │ │ -0008a480: 3a20 7374 6172 7465 640a 2020 2020 2020  : started.      
│ │ │ -0008a490: 6d61 736b 6564 3a20 6661 6c73 650a 2020  masked: false.  
│ │ │ -0008a4a0: 2020 7768 656e 3a0a 2020 2020 2d20 2722    when:.    - '"
│ │ │ -0008a4b0: 6175 6469 7464 2220 696e 2061 6e73 6962  auditd" in ansib
│ │ │ -0008a4c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -0008a4d0: 7327 0a20 2077 6865 6e3a 0a20 202d 2027  s'.  when:.  - '
│ │ │ -0008a4e0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0008a4f0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0008a500: 636b 6167 6573 270a 2020 2d20 2722 6175  ckages'.  - '"au
│ │ │ -0008a510: 6469 7464 2220 696e 2061 6e73 6962 6c65  ditd" in ansible
│ │ │ -0008a520: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0008a530: 0a20 2074 6167 733a 0a20 202d 2043 4a49  .  tags:.  - CJI
│ │ │ -0008a540: 532d 352e 342e 312e 310a 2020 2d20 4e49  S-5.4.1.1.  - NI
│ │ │ -0008a550: 5354 2d38 3030 2d31 3731 2d33 2e33 2e31  ST-800-171-3.3.1
│ │ │ -0008a560: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -0008a570: 312d 332e 332e 320a 2020 2d20 4e49 5354  1-3.3.2.  - NIST
│ │ │ -0008a580: 2d38 3030 2d31 3731 2d33 2e33 2e36 0a20  -800-171-3.3.6. 
│ │ │ -0008a590: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0008a5a0: 432d 3228 6729 0a20 202d 204e 4953 542d  C-2(g).  - NIST-
│ │ │ -0008a5b0: 3830 302d 3533 2d41 432d 3628 3929 0a20  800-53-AC-6(9). 
│ │ │ -0008a5c0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0008a5d0: 552d 3130 0a20 202d 204e 4953 542d 3830  U-10.  - NIST-80
│ │ │ -0008a5e0: 302d 3533 2d41 552d 3132 2863 290a 2020  0-53-AU-12(c).  
│ │ │ -0008a5f0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -0008a600: 2d31 3428 3129 0a20 202d 204e 4953 542d  -14(1).  - NIST-
│ │ │ -0008a610: 3830 302d 3533 2d41 552d 3228 6429 0a20  800-53-AU-2(d). 
│ │ │ -0008a620: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0008a630: 552d 330a 2020 2d20 4e49 5354 2d38 3030  U-3.  - NIST-800
│ │ │ -0008a640: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -0008a650: 4e49 5354 2d38 3030 2d35 332d 5349 2d34  NIST-800-53-SI-4
│ │ │ -0008a660: 2832 3329 0a20 202d 2050 4349 2d44 5353  (23).  - PCI-DSS
│ │ │ -0008a670: 2d52 6571 2d31 302e 310a 2020 2d20 5043  -Req-10.1.  - PC
│ │ │ -0008a680: 492d 4453 5376 342d 3130 2e32 0a20 202d  I-DSSv4-10.2.  -
│ │ │ -0008a690: 2050 4349 2d44 5353 7634 2d31 302e 322e   PCI-DSSv4-10.2.
│ │ │ -0008a6a0: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ -0008a6b0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -0008a6c0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0008a6d0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0008a6e0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -0008a6f0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0008a700: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ -0008a710: 5f61 7564 6974 645f 656e 6162 6c65 640a  _auditd_enabled.
│ │ │ +00089c20: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00089c30: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00089c40: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00089c50: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00089c60: 6522 2069 643d 2269 646d 3133 3631 3022  e" id="idm13610"
│ │ │ +00089c70: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00089c80: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00089c90: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00089ca0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00089cb0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00089cc0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00089cd0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00089ce0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00089cf0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00089d00: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00089d10: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00089d20: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00089d30: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00089d40: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00089d50: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00089d60: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00089d70: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00089d80: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00089d90: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00089da0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00089db0: 6167 733a 0a20 202d 2043 4a49 532d 352e  ags:.  - CJIS-5.
│ │ │ +00089dc0: 342e 312e 310a 2020 2d20 4e49 5354 2d38  4.1.1.  - NIST-8
│ │ │ +00089dd0: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d  00-171-3.3.1.  -
│ │ │ +00089de0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +00089df0: 332e 320a 2020 2d20 4e49 5354 2d38 3030  3.2.  - NIST-800
│ │ │ +00089e00: 2d31 3731 2d33 2e33 2e36 0a20 202d 204e  -171-3.3.6.  - N
│ │ │ +00089e10: 4953 542d 3830 302d 3533 2d41 432d 3228  IST-800-53-AC-2(
│ │ │ +00089e20: 6729 0a20 202d 204e 4953 542d 3830 302d  g).  - NIST-800-
│ │ │ +00089e30: 3533 2d41 432d 3628 3929 0a20 202d 204e  53-AC-6(9).  - N
│ │ │ +00089e40: 4953 542d 3830 302d 3533 2d41 552d 3130  IST-800-53-AU-10
│ │ │ +00089e50: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00089e60: 2d41 552d 3132 2863 290a 2020 2d20 4e49  -AU-12(c).  - NI
│ │ │ +00089e70: 5354 2d38 3030 2d35 332d 4155 2d31 3428  ST-800-53-AU-14(
│ │ │ +00089e80: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ +00089e90: 3533 2d41 552d 3228 6429 0a20 202d 204e  53-AU-2(d).  - N
│ │ │ +00089ea0: 4953 542d 3830 302d 3533 2d41 552d 330a  IST-800-53-AU-3.
│ │ │ +00089eb0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00089ec0: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +00089ed0: 2d38 3030 2d35 332d 5349 2d34 2832 3329  -800-53-SI-4(23)
│ │ │ +00089ee0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +00089ef0: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ +00089f00: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ +00089f10: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ +00089f20: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00089f30: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00089f40: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00089f50: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00089f60: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00089f70: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00089f80: 0a20 202d 2073 6572 7669 6365 5f61 7564  .  - service_aud
│ │ │ +00089f90: 6974 645f 656e 6162 6c65 640a 0a2d 206e  itd_enabled..- n
│ │ │ +00089fa0: 616d 653a 2045 6e61 626c 6520 6175 6469  ame: Enable audi
│ │ │ +00089fb0: 7464 2053 6572 7669 6365 202d 2045 6e61  td Service - Ena
│ │ │ +00089fc0: 626c 6520 7365 7276 6963 6520 6175 6469  ble service audi
│ │ │ +00089fd0: 7464 0a20 2062 6c6f 636b 3a0a 0a20 202d  td.  block:..  -
│ │ │ +00089fe0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +00089ff0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0008a000: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ +0008a010: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ +0008a020: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ +0008a030: 3a20 456e 6162 6c65 2061 7564 6974 6420  : Enable auditd 
│ │ │ +0008a040: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +0008a050: 2053 6572 7669 6365 2061 7564 6974 640a   Service auditd.
│ │ │ +0008a060: 2020 2020 616e 7369 626c 652e 6275 696c      ansible.buil
│ │ │ +0008a070: 7469 6e2e 7379 7374 656d 643a 0a20 2020  tin.systemd:.   
│ │ │ +0008a080: 2020 206e 616d 653a 2061 7564 6974 640a     name: auditd.
│ │ │ +0008a090: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +0008a0a0: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +0008a0b0: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +0008a0c0: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +0008a0d0: 2077 6865 6e3a 0a20 2020 202d 2027 2261   when:.    - '"a
│ │ │ +0008a0e0: 7564 6974 6422 2069 6e20 616e 7369 626c  uditd" in ansibl
│ │ │ +0008a0f0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +0008a100: 270a 2020 7768 656e 3a0a 2020 2d20 2722  '.  when:.  - '"
│ │ │ +0008a110: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0008a120: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0008a130: 6b61 6765 7327 0a20 202d 2027 2261 7564  kages'.  - '"aud
│ │ │ +0008a140: 6974 6422 2069 6e20 616e 7369 626c 655f  itd" in ansible_
│ │ │ +0008a150: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0008a160: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ +0008a170: 2d35 2e34 2e31 2e31 0a20 202d 204e 4953  -5.4.1.1.  - NIS
│ │ │ +0008a180: 542d 3830 302d 3137 312d 332e 332e 310a  T-800-171-3.3.1.
│ │ │ +0008a190: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +0008a1a0: 2d33 2e33 2e32 0a20 202d 204e 4953 542d  -3.3.2.  - NIST-
│ │ │ +0008a1b0: 3830 302d 3137 312d 332e 332e 360a 2020  800-171-3.3.6.  
│ │ │ +0008a1c0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +0008a1d0: 2d32 2867 290a 2020 2d20 4e49 5354 2d38  -2(g).  - NIST-8
│ │ │ +0008a1e0: 3030 2d35 332d 4143 2d36 2839 290a 2020  00-53-AC-6(9).  
│ │ │ +0008a1f0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +0008a200: 2d31 300a 2020 2d20 4e49 5354 2d38 3030  -10.  - NIST-800
│ │ │ +0008a210: 2d35 332d 4155 2d31 3228 6329 0a20 202d  -53-AU-12(c).  -
│ │ │ +0008a220: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008a230: 3134 2831 290a 2020 2d20 4e49 5354 2d38  14(1).  - NIST-8
│ │ │ +0008a240: 3030 2d35 332d 4155 2d32 2864 290a 2020  00-53-AU-2(d).  
│ │ │ +0008a250: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +0008a260: 2d33 0a20 202d 204e 4953 542d 3830 302d  -3.  - NIST-800-
│ │ │ +0008a270: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +0008a280: 4953 542d 3830 302d 3533 2d53 492d 3428  IST-800-53-SI-4(
│ │ │ +0008a290: 3233 290a 2020 2d20 5043 492d 4453 532d  23).  - PCI-DSS-
│ │ │ +0008a2a0: 5265 712d 3130 2e31 0a20 202d 2050 4349  Req-10.1.  - PCI
│ │ │ +0008a2b0: 2d44 5353 7634 2d31 302e 320a 2020 2d20  -DSSv4-10.2.  - 
│ │ │ +0008a2c0: 5043 492d 4453 5376 342d 3130 2e32 2e31  PCI-DSSv4-10.2.1
│ │ │ +0008a2d0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +0008a2e0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +0008a2f0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0008a300: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +0008a310: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +0008a320: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +0008a330: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ +0008a340: 6175 6469 7464 5f65 6e61 626c 6564 0a3c  auditd_enabled.<
│ │ │ +0008a350: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0008a360: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0008a370: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0008a380: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0008a390: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0008a3a0: 2223 6964 6d31 3336 3131 2220 7461 6269  "#idm13611" tabi
│ │ │ +0008a3b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0008a3c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0008a3d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0008a3e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0008a3f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0008a400: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +0008a410: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +0008a420: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0008a430: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0008a440: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0008a450: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0008a460: 3336 3131 223e 3c70 7265 3e3c 636f 6465  3611"><pre><code
│ │ │ +0008a470: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +0008a480: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +0008a490: 6c65 6420 3d20 5b22 6175 6469 7464 225d  led = ["auditd"]
│ │ │ +0008a4a0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0008a4b0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0008a4c0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0008a4d0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0008a4e0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0008a4f0: 743d 2223 6964 6d31 3336 3132 2220 7461  t="#idm13612" ta
│ │ │ +0008a500: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0008a510: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0008a520: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0008a530: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0008a540: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0008a550: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0008a560: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +0008a570: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0008a580: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0008a590: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0008a5a0: 643d 2269 646d 3133 3631 3222 3e3c 7461  d="idm13612"><ta
│ │ │ +0008a5b0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0008a5c0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0008a5d0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0008a5e0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0008a5f0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0008a600: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0008a610: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008a620: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0008a630: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0008a640: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0008a650: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0008a660: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008a670: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0008a680: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0008a690: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0008a6a0: 636f 6465 3e69 6e63 6c75 6465 2065 6e61  code>include ena
│ │ │ +0008a6b0: 626c 655f 6175 6469 7464 0a0a 636c 6173  ble_auditd..clas
│ │ │ +0008a6c0: 7320 656e 6162 6c65 5f61 7564 6974 6420  s enable_auditd 
│ │ │ +0008a6d0: 7b0a 2020 7365 7276 6963 6520 7b27 6175  {.  service {'au
│ │ │ +0008a6e0: 6469 7464 273a 0a20 2020 2065 6e61 626c  ditd':.    enabl
│ │ │ +0008a6f0: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +0008a700: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +0008a710: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │  0008a720: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  0008a730: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  0008a740: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  0008a750: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  le></td></tr></t
│ │ │  0008a760: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f64  body></table></d
│ │ │  0008a770: 6976 3e3c 6469 7620 6964 3d22 7265 6172  iv><div id="rear
│ │ │  0008a780: 2d6d 6174 7465 7222 3e3c 6469 7620 636c  -matter"><div cl
│ │ │ ├── html2text {}
│ │ │ │ @@ -1631,31 +1631,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1692,14 +1675,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 11. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1716,31 +1716,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1776,14 +1759,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3561,31 +3561,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3626,14 +3609,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ccrroonn SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The crond service is used to execute commands at preconfigured times. It is
│ │ │ │  required by almost all systems to perform necessary maintenance tasks, such as
│ │ │ │  notifying root of system activity. The cron service can be enabled with the
│ │ │ │  following command:
│ │ │ │  $ sudo systemctl enable cron.service
│ │ │ │  Rationale:  Due to its usage for maintenance and security-supporting tasks,
│ │ │ │ @@ -3655,31 +3655,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 1.3, SR 1.4, SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR
│ │ │ │                             1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR 2.5, SR 2.6,
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["cron"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3713,14 +3696,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["cron"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Deprecated services   Group contains 5 rules
│ │ │ │  _[_r_e_f_]   Some deprecated software services impact the overall system security
│ │ │ │  due to their behavior (leak of confidentiality in network exchange, usage as
│ │ │ │  uncontrolled communication channel, risk associated with the service due to its
│ │ │ │  old age, etc.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee iinneett--bbaasseedd tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The inet-based telnet daemon should be uninstalled.
│ │ │ │ @@ -3744,26 +3744,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -3788,33 +3776,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -3836,34 +3824,34 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ -uninstalled.
│ │ │ │ -           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ -Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ -           cryptographic mechanisms integrated in NTP.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ +include remove_nis
│ │ │ │  
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ +uninstalled.
│ │ │ │ +           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ +Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ +           cryptographic mechanisms integrated in NTP.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -3885,14 +3873,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -3910,26 +3910,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -3954,14 +3942,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -3980,26 +3980,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4024,14 +4012,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a
│ │ │ │  network. Computer clocks are not very accurate, so time will drift
│ │ │ │  unpredictably on unmanaged systems. Central time protocols can be used both to
│ │ │ │  ensure that time is consistent among a network of systems, and that their time
│ │ │ │  is consistent with the outside world.
│ │ │ │  
│ │ │ │ @@ -4093,31 +4093,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4156,14 +4139,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee tthhee NNTTPP DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ntp service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable ntp.service
│ │ │ │              Enabling the ntp service ensures that the ntp service will be
│ │ │ │              running and that the system will synchronize its time to any
│ │ │ │              servers specified. This is important whether the system is
│ │ │ │              configured to be a client (and synchronize only its own clock) or
│ │ │ │ @@ -4183,31 +4183,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4251,14 +4234,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5141,31 +5141,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5220,14 +5203,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing
│ │ │ │  System, as it is responsible for writing audit records to disk. The auditd
│ │ │ │  service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be
│ │ │ │              difficult to establish, correlate, and investigate the events
│ │ │ │ @@ -5289,31 +5289,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5379,11 +5362,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_bp28_enhanced.html
│ │ │ @@ -15037,185 +15037,185 @@
│ │ │  0003abc0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  0003abd0: 3d22 2369 646d 3236 3833 2220 7461 6269  ="#idm2683" tabi
│ │ │  0003abe0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  0003abf0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  0003ac00: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  0003ac10: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  0003ac20: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0003ac30: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -0003ac40: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -0003ac50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0003ac60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0003ac70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0003ac80: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0003ac90: 3638 3322 3e3c 7072 653e 3c63 6f64 653e  683"><pre><code>
│ │ │ -0003aca0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -0003acb0: 6d65 203d 2022 6169 6465 220a 7665 7273  me = "aide".vers
│ │ │ -0003acc0: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ -0003acd0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0003ace0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0003acf0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0003ad00: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0003ad10: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0003ad20: 3236 3834 2220 7461 6269 6e64 6578 3d22  2684" tabindex="
│ │ │ -0003ad30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0003ad40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0003ad50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0003ad60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0003ad70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0003ad80: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -0003ad90: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0003ada0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0003adb0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0003adc0: 6c61 7073 6522 2069 643d 2269 646d 3236  lapse" id="idm26
│ │ │ -0003add0: 3834 223e 3c74 6162 6c65 2063 6c61 7373  84"><table class
│ │ │ -0003ade0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -0003adf0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -0003ae00: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -0003ae10: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -0003ae20: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -0003ae30: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0003ae40: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -0003ae50: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -0003ae60: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0003ae70: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -0003ae80: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -0003ae90: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -0003aea0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -0003aeb0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0003aec0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0003aed0: 7564 6520 696e 7374 616c 6c5f 6169 6465  ude install_aide
│ │ │ -0003aee0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -0003aef0: 6169 6465 207b 0a20 2070 6163 6b61 6765  aide {.  package
│ │ │ -0003af00: 207b 2027 6169 6465 273a 0a20 2020 2065   { 'aide':.    e
│ │ │ -0003af10: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -0003af20: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -0003af30: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0003af40: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0003af50: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0003af60: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0003af70: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0003af80: 2223 6964 6d32 3638 3522 2074 6162 696e  "#idm2685" tabin
│ │ │ -0003af90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0003afa0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0003afb0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0003afc0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0003afd0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0003afe0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -0003aff0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -0003b000: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0003b010: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0003b020: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0003b030: 2269 646d 3236 3835 223e 3c74 6162 6c65  "idm2685"><table
│ │ │ -0003b040: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0003b050: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0003b060: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0003b070: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0003b080: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0003b090: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0003b0a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0003b0b0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0003b0c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0003b0d0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0003b0e0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0003b0f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0003b100: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0003b110: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0003b120: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0003b130: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ -0003b140: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -0003b150: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ -0003b160: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ -0003b170: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ -0003b180: 2d20 434a 4953 2d35 2e31 302e 312e 330a  - CJIS-5.10.1.3.
│ │ │ -0003b190: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0003b1a0: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0003b1b0: 4453 532d 5265 712d 3131 2e35 0a20 202d  DSS-Req-11.5.  -
│ │ │ -0003b1c0: 2050 4349 2d44 5353 7634 2d31 312e 352e   PCI-DSSv4-11.5.
│ │ │ -0003b1d0: 320a 2020 2d20 656e 6162 6c65 5f73 7472  2.  - enable_str
│ │ │ -0003b1e0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -0003b1f0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0003b200: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0003b210: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -0003b220: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0003b230: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0003b240: 5f61 6964 655f 696e 7374 616c 6c65 640a  _aide_installed.
│ │ │ -0003b250: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ -0003b260: 6169 6465 2069 7320 696e 7374 616c 6c65  aide is installe
│ │ │ -0003b270: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -0003b280: 206e 616d 653a 2061 6964 650a 2020 2020   name: aide.    
│ │ │ -0003b290: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ -0003b2a0: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ -0003b2b0: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ -0003b2c0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -0003b2d0: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ -0003b2e0: 2d35 2e31 302e 312e 330a 2020 2d20 4e49  -5.10.1.3.  - NI
│ │ │ -0003b2f0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -0003b300: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -0003b310: 712d 3131 2e35 0a20 202d 2050 4349 2d44  q-11.5.  - PCI-D
│ │ │ -0003b320: 5353 7634 2d31 312e 352e 320a 2020 2d20  SSv4-11.5.2.  - 
│ │ │ -0003b330: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -0003b340: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0003b350: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0003b360: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -0003b370: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -0003b380: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0003b390: 202d 2070 6163 6b61 6765 5f61 6964 655f   - package_aide_
│ │ │ -0003b3a0: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ -0003b3b0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0003b3c0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0003b3d0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0003b3e0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0003b3f0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0003b400: 3236 3836 2220 7461 6269 6e64 6578 3d22  2686" tabindex="
│ │ │ -0003b410: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0003b420: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0003b430: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0003b440: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0003b450: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0003b460: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -0003b470: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -0003b480: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0003b490: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0003b4a0: 7073 6522 2069 643d 2269 646d 3236 3836  pse" id="idm2686
│ │ │ -0003b4b0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0003b4c0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0003b4d0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0003b4e0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0003b4f0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0003b500: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0003b510: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0003b520: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0003b530: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0003b540: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0003b550: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0003b560: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0003b570: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0003b580: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -0003b590: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0003b5a0: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -0003b5b0: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -0003b5c0: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -0003b5d0: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -0003b5e0: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ -0003b5f0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ -0003b600: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ -0003b610: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ -0003b620: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ -0003b630: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ -0003b640: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ -0003b650: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -0003b660: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -0003b670: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ -0003b680: 2d79 2022 6169 6465 220a 0a65 6c73 650a  -y "aide"..else.
│ │ │ -0003b690: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -0003b6a0: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -0003b6b0: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -0003b6c0: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -0003b6d0: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0003ac30: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +0003ac40: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +0003ac50: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0003ac60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0003ac70: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0003ac80: 3d22 6964 6d32 3638 3322 3e3c 7461 626c  ="idm2683"><tabl
│ │ │ +0003ac90: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0003aca0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0003acb0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0003acc0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0003acd0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0003ace0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0003acf0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0003ad00: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0003ad10: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0003ad20: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0003ad30: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0003ad40: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0003ad50: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0003ad60: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +0003ad70: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0003ad80: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +0003ad90: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +0003ada0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +0003adb0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +0003adc0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +0003add0: 202d 2043 4a49 532d 352e 3130 2e31 2e33   - CJIS-5.10.1.3
│ │ │ +0003ade0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0003adf0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +0003ae00: 2d44 5353 2d52 6571 2d31 312e 350a 2020  -DSS-Req-11.5.  
│ │ │ +0003ae10: 2d20 5043 492d 4453 5376 342d 3131 2e35  - PCI-DSSv4-11.5
│ │ │ +0003ae20: 2e32 0a20 202d 2065 6e61 626c 655f 7374  .2.  - enable_st
│ │ │ +0003ae30: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +0003ae40: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0003ae50: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0003ae60: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +0003ae70: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0003ae80: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0003ae90: 655f 6169 6465 5f69 6e73 7461 6c6c 6564  e_aide_installed
│ │ │ +0003aea0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ +0003aeb0: 2061 6964 6520 6973 2069 6e73 7461 6c6c   aide is install
│ │ │ +0003aec0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +0003aed0: 2020 6e61 6d65 3a20 6169 6465 0a20 2020    name: aide.   
│ │ │ +0003aee0: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ +0003aef0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +0003af00: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +0003af10: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +0003af20: 0a20 2074 6167 733a 0a20 202d 2043 4a49  .  tags:.  - CJI
│ │ │ +0003af30: 532d 352e 3130 2e31 2e33 0a20 202d 204e  S-5.10.1.3.  - N
│ │ │ +0003af40: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +0003af50: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ +0003af60: 6571 2d31 312e 350a 2020 2d20 5043 492d  eq-11.5.  - PCI-
│ │ │ +0003af70: 4453 5376 342d 3131 2e35 2e32 0a20 202d  DSSv4-11.5.2.  -
│ │ │ +0003af80: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +0003af90: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0003afa0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0003afb0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +0003afc0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +0003afd0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0003afe0: 2020 2d20 7061 636b 6167 655f 6169 6465    - package_aide
│ │ │ +0003aff0: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +0003b000: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0003b010: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0003b020: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0003b030: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0003b040: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0003b050: 6d32 3638 3422 2074 6162 696e 6465 783d  m2684" tabindex=
│ │ │ +0003b060: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0003b070: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0003b080: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0003b090: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0003b0a0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0003b0b0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +0003b0c0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +0003b0d0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0003b0e0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0003b0f0: 6170 7365 2220 6964 3d22 6964 6d32 3638  apse" id="idm268
│ │ │ +0003b100: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ +0003b110: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0003b120: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0003b130: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0003b140: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0003b150: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0003b160: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0003b170: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0003b180: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003b190: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0003b1a0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0003b1b0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0003b1c0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0003b1d0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0003b1e0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0003b1f0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ +0003b200: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ +0003b210: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ +0003b220: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ +0003b230: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ +0003b240: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ +0003b250: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ +0003b260: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ +0003b270: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ +0003b280: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ +0003b290: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ +0003b2a0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +0003b2b0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +0003b2c0: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ +0003b2d0: 202d 7920 2261 6964 6522 0a0a 656c 7365   -y "aide"..else
│ │ │ +0003b2e0: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +0003b2f0: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +0003b300: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +0003b310: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +0003b320: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +0003b330: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0003b340: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0003b350: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0003b360: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0003b370: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0003b380: 3236 3835 2220 7461 6269 6e64 6578 3d22  2685" tabindex="
│ │ │ +0003b390: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0003b3a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0003b3b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0003b3c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0003b3d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0003b3e0: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +0003b3f0: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +0003b400: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0003b410: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0003b420: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0003b430: 2220 6964 3d22 6964 6d32 3638 3522 3e3c  " id="idm2685"><
│ │ │ +0003b440: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ +0003b450: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ +0003b460: 6169 6465 220a 7665 7273 696f 6e20 3d20  aide".version = 
│ │ │ +0003b470: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ +0003b480: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0003b490: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0003b4a0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0003b4b0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0003b4c0: 7267 6574 3d22 2369 646d 3236 3836 2220  rget="#idm2686" 
│ │ │ +0003b4d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0003b4e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0003b4f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0003b500: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0003b510: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0003b520: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0003b530: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +0003b540: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0003b550: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0003b560: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0003b570: 2069 643d 2269 646d 3236 3836 223e 3c74   id="idm2686"><t
│ │ │ +0003b580: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0003b590: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0003b5a0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0003b5b0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0003b5c0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0003b5d0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0003b5e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0003b5f0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0003b600: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0003b610: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0003b620: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0003b630: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0003b640: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0003b650: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0003b660: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0003b670: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +0003b680: 7374 616c 6c5f 6169 6465 0a0a 636c 6173  stall_aide..clas
│ │ │ +0003b690: 7320 696e 7374 616c 6c5f 6169 6465 207b  s install_aide {
│ │ │ +0003b6a0: 0a20 2070 6163 6b61 6765 207b 2027 6169  .  package { 'ai
│ │ │ +0003b6b0: 6465 273a 0a20 2020 2065 6e73 7572 6520  de':.    ensure 
│ │ │ +0003b6c0: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +0003b6d0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  0003b6e0: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  0003b6f0: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  0003b700: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  0003b710: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  0003b720: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  0003b730: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  0003b740: 6e74 5f72 756c 655f 6169 6465 5f62 7569  nt_rule_aide_bui
│ │ │ @@ -17799,182 +17799,182 @@
│ │ │  00045860: 6172 6765 743d 2223 6964 6d33 3734 3922  arget="#idm3749"
│ │ │  00045870: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00045880: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00045890: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  000458a0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  000458b0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  000458c0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000458d0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -000458e0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -000458f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00045900: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00045910: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00045920: 2269 646d 3337 3439 223e 3c70 7265 3e3c  "idm3749"><pre><
│ │ │ -00045930: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -00045940: 5d5d 0a6e 616d 6520 3d20 2273 7564 6f22  ]].name = "sudo"
│ │ │ -00045950: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ -00045960: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00045970: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00045980: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00045990: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -000459a0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -000459b0: 2223 6964 6d33 3735 3022 2074 6162 696e  "#idm3750" tabin
│ │ │ -000459c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000459d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000459e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000459f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00045a00: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00045a10: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00045a20: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00045a30: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00045a40: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00045a50: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00045a60: 6964 6d33 3735 3022 3e3c 7461 626c 6520  idm3750"><table 
│ │ │ -00045a70: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00045a80: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00045a90: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00045aa0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00045ab0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00045ac0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00045ad0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00045ae0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00045af0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00045b00: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00045b10: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00045b20: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00045b30: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00045b40: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00045b50: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00045b60: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -00045b70: 5f73 7564 6f0a 0a63 6c61 7373 2069 6e73  _sudo..class ins
│ │ │ -00045b80: 7461 6c6c 5f73 7564 6f20 7b0a 2020 7061  tall_sudo {.  pa
│ │ │ -00045b90: 636b 6167 6520 7b20 2773 7564 6f27 3a0a  ckage { 'sudo':.
│ │ │ -00045ba0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00045bb0: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -00045bc0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00045bd0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00045be0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00045bf0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00045c00: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00045c10: 7267 6574 3d22 2369 646d 3337 3531 2220  rget="#idm3751" 
│ │ │ -00045c20: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00045c30: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00045c40: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00045c50: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00045c60: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00045c70: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00045c80: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00045c90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00045ca0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00045cb0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00045cc0: 2220 6964 3d22 6964 6d33 3735 3122 3e3c  " id="idm3751"><
│ │ │ -00045cd0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00045ce0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00045cf0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00045d00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00045d10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00045d20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00045d30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00045d40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00045d50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00045d60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00045d70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00045d80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00045d90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00045da0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -00045db0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00045dc0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -00045dd0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00045de0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -00045df0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -00045e00: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00045e10: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00045e20: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -00045e30: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00045e40: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -00045e50: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -00045e60: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00045e70: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00045e80: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00045e90: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00045ea0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00045eb0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00045ec0: 7375 646f 5f69 6e73 7461 6c6c 6564 0a0a  sudo_installed..
│ │ │ -00045ed0: 2d20 6e61 6d65 3a20 456e 7375 7265 2073  - name: Ensure s
│ │ │ -00045ee0: 7564 6f20 6973 2069 6e73 7461 6c6c 6564  udo is installed
│ │ │ -00045ef0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00045f00: 6e61 6d65 3a20 7375 646f 0a20 2020 2073  name: sudo.    s
│ │ │ -00045f10: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -00045f20: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -00045f30: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00045f40: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00045f50: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00045f60: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00045f70: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -00045f80: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -00045f90: 2e32 2e36 0a20 202d 2065 6e61 626c 655f  .2.6.  - enable_
│ │ │ -00045fa0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00045fb0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00045fc0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00045fd0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00045fe0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00045ff0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00046000: 6167 655f 7375 646f 5f69 6e73 7461 6c6c  age_sudo_install
│ │ │ -00046010: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -00046020: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00046030: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00046040: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00046050: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00046060: 6765 743d 2223 6964 6d33 3735 3222 2074  get="#idm3752" t
│ │ │ -00046070: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00046080: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00046090: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -000460a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -000460b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -000460c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -000460d0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -000460e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000460f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00046100: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00046110: 3d22 6964 6d33 3735 3222 3e3c 7461 626c  ="idm3752"><tabl
│ │ │ -00046120: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00046130: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00046140: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00046150: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00046160: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00046170: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00046180: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00046190: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000461a0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000461b0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -000461c0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000461d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000461e0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000461f0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00046200: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00046210: 6465 3e23 2052 656d 6564 6961 7469 6f6e  de># Remediation
│ │ │ -00046220: 2069 7320 6170 706c 6963 6162 6c65 206f   is applicable o
│ │ │ -00046230: 6e6c 7920 696e 2063 6572 7461 696e 2070  nly in certain p
│ │ │ -00046240: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67  latforms.if dpkg
│ │ │ -00046250: 2d71 7565 7279 202d 2d73 686f 7720 2d2d  -query --show --
│ │ │ -00046260: 7368 6f77 666f 726d 6174 3d27 247b 6462  showformat='${db
│ │ │ -00046270: 3a53 7461 7475 732d 5374 6174 7573 7d0a  :Status-Status}.
│ │ │ -00046280: 2720 276c 696e 7578 2d62 6173 6527 2032  ' 'linux-base' 2
│ │ │ -00046290: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20  &gt;/dev/null | 
│ │ │ -000462a0: 6772 6570 202d 7120 5e69 6e73 7461 6c6c  grep -q ^install
│ │ │ -000462b0: 6564 3b20 7468 656e 0a0a 4445 4249 414e  ed; then..DEBIAN
│ │ │ -000462c0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -000462d0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -000462e0: 2069 6e73 7461 6c6c 202d 7920 2273 7564   install -y "sud
│ │ │ -000462f0: 6f22 0a0a 656c 7365 0a20 2020 2026 6774  o"..else.    &gt
│ │ │ -00046300: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ -00046310: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ -00046320: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ -00046330: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ -00046340: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +000458d0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +000458e0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000458f0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00045900: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00045910: 6522 2069 643d 2269 646d 3337 3439 223e  e" id="idm3749">
│ │ │ +00045920: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00045930: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00045940: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00045950: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00045960: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00045970: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00045980: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00045990: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +000459a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000459b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +000459c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +000459d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +000459e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +000459f0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00045a00: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00045a10: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00045a20: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00045a30: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +00045a40: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +00045a50: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +00045a60: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00045a70: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00045a80: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +00045a90: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +00045aa0: 360a 2020 2d20 656e 6162 6c65 5f73 7472  6.  - enable_str
│ │ │ +00045ab0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00045ac0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00045ad0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00045ae0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00045af0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00045b00: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00045b10: 5f73 7564 6f5f 696e 7374 616c 6c65 640a  _sudo_installed.
│ │ │ +00045b20: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ +00045b30: 7375 646f 2069 7320 696e 7374 616c 6c65  sudo is installe
│ │ │ +00045b40: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +00045b50: 206e 616d 653a 2073 7564 6f0a 2020 2020   name: sudo.    
│ │ │ +00045b60: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +00045b70: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00045b80: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00045b90: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00045ba0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00045bb0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00045bc0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +00045bd0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +00045be0: 322e 322e 360a 2020 2d20 656e 6162 6c65  2.2.6.  - enable
│ │ │ +00045bf0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +00045c00: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00045c10: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00045c20: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +00045c30: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +00045c40: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00045c50: 6b61 6765 5f73 7564 6f5f 696e 7374 616c  kage_sudo_instal
│ │ │ +00045c60: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00045c70: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00045c80: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00045c90: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00045ca0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00045cb0: 7267 6574 3d22 2369 646d 3337 3530 2220  rget="#idm3750" 
│ │ │ +00045cc0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00045cd0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00045ce0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00045cf0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00045d00: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00045d10: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00045d20: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +00045d30: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00045d40: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00045d50: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00045d60: 643d 2269 646d 3337 3530 223e 3c74 6162  d="idm3750"><tab
│ │ │ +00045d70: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00045d80: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00045d90: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00045da0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00045db0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00045dc0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00045dd0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00045de0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00045df0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00045e00: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00045e10: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00045e20: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00045e30: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00045e40: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00045e50: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00045e60: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ +00045e70: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ +00045e80: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ +00045e90: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ +00045ea0: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ +00045eb0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ +00045ec0: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ +00045ed0: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ +00045ee0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ +00045ef0: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ +00045f00: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ +00045f10: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +00045f20: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +00045f30: 7420 696e 7374 616c 6c20 2d79 2022 7375  t install -y "su
│ │ │ +00045f40: 646f 220a 0a65 6c73 650a 2020 2020 2667  do"..else.    &g
│ │ │ +00045f50: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ +00045f60: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ +00045f70: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ +00045f80: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ +00045f90: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +00045fa0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00045fb0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00045fc0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00045fd0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00045fe0: 6765 743d 2223 6964 6d33 3735 3122 2074  get="#idm3751" t
│ │ │ +00045ff0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00046000: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00046010: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00046020: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00046030: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00046040: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00046050: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +00046060: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +00046070: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00046080: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00046090: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000460a0: 646d 3337 3531 223e 3c70 7265 3e3c 636f  dm3751"><pre><co
│ │ │ +000460b0: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ +000460c0: 0a6e 616d 6520 3d20 2273 7564 6f22 0a76  .name = "sudo".v
│ │ │ +000460d0: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ +000460e0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000460f0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00046100: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00046110: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00046120: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00046130: 6964 6d33 3735 3222 2074 6162 696e 6465  idm3752" tabinde
│ │ │ +00046140: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00046150: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00046160: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00046170: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00046180: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00046190: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +000461a0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +000461b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000461c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000461d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000461e0: 6d33 3735 3222 3e3c 7461 626c 6520 636c  m3752"><table cl
│ │ │ +000461f0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00046200: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00046210: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00046220: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00046230: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00046240: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00046250: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00046260: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00046270: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00046280: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00046290: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000462a0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000462b0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +000462c0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000462d0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +000462e0: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f73  nclude install_s
│ │ │ +000462f0: 7564 6f0a 0a63 6c61 7373 2069 6e73 7461  udo..class insta
│ │ │ +00046300: 6c6c 5f73 7564 6f20 7b0a 2020 7061 636b  ll_sudo {.  pack
│ │ │ +00046310: 6167 6520 7b20 2773 7564 6f27 3a0a 2020  age { 'sudo':.  
│ │ │ +00046320: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00046330: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ +00046340: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00046350: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00046360: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00046370: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00046380: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  00046390: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  000463a0: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  000463b0: 5f64 6972 6563 746f 7279 5f67 726f 7570  _directory_group
│ │ │ @@ -30425,181 +30425,181 @@
│ │ │  00076d80: 6172 6765 743d 2223 6964 6d34 3337 3022  arget="#idm4370"
│ │ │  00076d90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00076da0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00076db0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00076dc0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00076dd0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00076de0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00076df0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00076e00: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00076e10: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00076e20: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00076e30: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00076e40: 2269 646d 3433 3730 223e 3c70 7265 3e3c  "idm4370"><pre><
│ │ │ -00076e50: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -00076e60: 5d5d 0a6e 616d 6520 3d20 226c 6962 7061  ]].name = "libpa
│ │ │ -00076e70: 6d2d 7077 7175 616c 6974 7922 0a76 6572  m-pwquality".ver
│ │ │ -00076e80: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ -00076e90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00076ea0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00076eb0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00076ec0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00076ed0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00076ee0: 6d34 3337 3122 2074 6162 696e 6465 783d  m4371" tabindex=
│ │ │ -00076ef0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00076f00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00076f10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00076f20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00076f30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00076f40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00076f50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00076f60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00076f70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00076f80: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ -00076f90: 3337 3122 3e3c 7461 626c 6520 636c 6173  371"><table clas
│ │ │ -00076fa0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00076fb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00076fc0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00076fd0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00076fe0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00076ff0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00077000: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00077010: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00077020: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00077030: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00077040: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00077050: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00077060: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00077070: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00077080: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00077090: 6c75 6465 2069 6e73 7461 6c6c 5f6c 6962  lude install_lib
│ │ │ -000770a0: 7061 6d2d 7077 7175 616c 6974 790a 0a63  pam-pwquality..c
│ │ │ -000770b0: 6c61 7373 2069 6e73 7461 6c6c 5f6c 6962  lass install_lib
│ │ │ -000770c0: 7061 6d2d 7077 7175 616c 6974 7920 7b0a  pam-pwquality {.
│ │ │ -000770d0: 2020 7061 636b 6167 6520 7b20 276c 6962    package { 'lib
│ │ │ -000770e0: 7061 6d2d 7077 7175 616c 6974 7927 3a0a  pam-pwquality':.
│ │ │ -000770f0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00077100: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -00077110: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00077120: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00077130: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00077140: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00077150: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00077160: 7267 6574 3d22 2369 646d 3433 3732 2220  rget="#idm4372" 
│ │ │ -00077170: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00077180: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00077190: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -000771a0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -000771b0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -000771c0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000771d0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -000771e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000771f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00077200: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00077210: 2220 6964 3d22 6964 6d34 3337 3222 3e3c  " id="idm4372"><
│ │ │ -00077220: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00077230: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00077240: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00077250: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00077260: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00077270: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00077280: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077290: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -000772a0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000772b0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000772c0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000772d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000772e0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000772f0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -00077300: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00077310: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -00077320: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00077330: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -00077340: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -00077350: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00077360: 733a 0a20 202d 2065 6e61 626c 655f 7374  s:.  - enable_st
│ │ │ -00077370: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00077380: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00077390: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -000773a0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -000773b0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -000773c0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -000773d0: 655f 7061 6d5f 7077 7175 616c 6974 795f  e_pam_pwquality_
│ │ │ -000773e0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -000773f0: 653a 2045 6e73 7572 6520 6c69 6270 616d  e: Ensure libpam
│ │ │ -00077400: 2d70 7771 7561 6c69 7479 2069 7320 696e  -pwquality is in
│ │ │ -00077410: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -00077420: 653a 0a20 2020 206e 616d 653a 206c 6962  e:.    name: lib
│ │ │ -00077430: 7061 6d2d 7077 7175 616c 6974 790a 2020  pam-pwquality.  
│ │ │ -00077440: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00077450: 0a20 2077 6865 6e3a 2027 226c 6962 7061  .  when: '"libpa
│ │ │ -00077460: 6d2d 7275 6e74 696d 6522 2069 6e20 616e  m-runtime" in an
│ │ │ -00077470: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -00077480: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -00077490: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -000774a0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000774b0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000774c0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -000774d0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -000774e0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -000774f0: 0a20 202d 2070 6163 6b61 6765 5f70 616d  .  - package_pam
│ │ │ -00077500: 5f70 7771 7561 6c69 7479 5f69 6e73 7461  _pwquality_insta
│ │ │ -00077510: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ -00077520: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00077530: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00077540: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00077550: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00077560: 6172 6765 743d 2223 6964 6d34 3337 3322  arget="#idm4373"
│ │ │ -00077570: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00077580: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00077590: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000775a0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000775b0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -000775c0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000775d0: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ -000775e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -000775f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00077600: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00077610: 6964 3d22 6964 6d34 3337 3322 3e3c 7461  id="idm4373"><ta
│ │ │ -00077620: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00077630: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00077640: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00077650: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00077660: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00077670: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00077680: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00077690: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000776a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000776b0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000776c0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000776d0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000776e0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -000776f0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00077700: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00077710: 636f 6465 3e23 2052 656d 6564 6961 7469  code># Remediati
│ │ │ -00077720: 6f6e 2069 7320 6170 706c 6963 6162 6c65  on is applicable
│ │ │ -00077730: 206f 6e6c 7920 696e 2063 6572 7461 696e   only in certain
│ │ │ -00077740: 2070 6c61 7466 6f72 6d73 0a69 6620 6470   platforms.if dp
│ │ │ -00077750: 6b67 2d71 7565 7279 202d 2d73 686f 7720  kg-query --show 
│ │ │ -00077760: 2d2d 7368 6f77 666f 726d 6174 3d27 247b  --showformat='${
│ │ │ -00077770: 6462 3a53 7461 7475 732d 5374 6174 7573  db:Status-Status
│ │ │ -00077780: 7d5c 6e27 2027 6c69 6270 616d 2d72 756e  }\n' 'libpam-run
│ │ │ -00077790: 7469 6d65 2720 3226 6774 3b2f 6465 762f  time' 2&gt;/dev/
│ │ │ -000777a0: 6e75 6c6c 207c 2067 7265 7020 2d71 2027  null | grep -q '
│ │ │ -000777b0: 5e69 6e73 7461 6c6c 6564 273b 2074 6865  ^installed'; the
│ │ │ -000777c0: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ -000777d0: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -000777e0: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ -000777f0: 6c20 2d79 2022 6c69 6270 616d 2d70 7771  l -y "libpam-pwq
│ │ │ -00077800: 7561 6c69 7479 220a 0a65 6c73 650a 2020  uality"..else.  
│ │ │ -00077810: 2020 2667 743b 2661 6d70 3b32 2065 6368    &gt;&amp;2 ech
│ │ │ -00077820: 6f20 2752 656d 6564 6961 7469 6f6e 2069  o 'Remediation i
│ │ │ -00077830: 7320 6e6f 7420 6170 706c 6963 6162 6c65  s not applicable
│ │ │ -00077840: 2c20 6e6f 7468 696e 6720 7761 7320 646f  , nothing was do
│ │ │ -00077850: 6e65 270a 6669 0a3c 2f63 6f64 653e 3c2f  ne'.fi.</code></
│ │ │ +00076df0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00076e00: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00076e10: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00076e20: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00076e30: 6522 2069 643d 2269 646d 3433 3730 223e  e" id="idm4370">
│ │ │ +00076e40: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00076e50: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00076e60: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00076e70: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00076e80: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00076e90: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00076ea0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00076eb0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00076ec0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00076ed0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00076ee0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00076ef0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00076f00: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00076f10: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00076f20: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00076f30: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00076f40: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00076f50: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +00076f60: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +00076f70: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +00076f80: 6773 3a0a 2020 2d20 656e 6162 6c65 5f73  gs:.  - enable_s
│ │ │ +00076f90: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00076fa0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00076fb0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00076fc0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00076fd0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00076fe0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00076ff0: 6765 5f70 616d 5f70 7771 7561 6c69 7479  ge_pam_pwquality
│ │ │ +00077000: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ +00077010: 6d65 3a20 456e 7375 7265 206c 6962 7061  me: Ensure libpa
│ │ │ +00077020: 6d2d 7077 7175 616c 6974 7920 6973 2069  m-pwquality is i
│ │ │ +00077030: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ +00077040: 6765 3a0a 2020 2020 6e61 6d65 3a20 6c69  ge:.    name: li
│ │ │ +00077050: 6270 616d 2d70 7771 7561 6c69 7479 0a20  bpam-pwquality. 
│ │ │ +00077060: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00077070: 740a 2020 7768 656e 3a20 2722 6c69 6270  t.  when: '"libp
│ │ │ +00077080: 616d 2d72 756e 7469 6d65 2220 696e 2061  am-runtime" in a
│ │ │ +00077090: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +000770a0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +000770b0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +000770c0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +000770d0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +000770e0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +000770f0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00077100: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00077110: 640a 2020 2d20 7061 636b 6167 655f 7061  d.  - package_pa
│ │ │ +00077120: 6d5f 7077 7175 616c 6974 795f 696e 7374  m_pwquality_inst
│ │ │ +00077130: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00077140: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00077150: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00077160: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00077170: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00077180: 7461 7267 6574 3d22 2369 646d 3433 3731  target="#idm4371
│ │ │ +00077190: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +000771a0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +000771b0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +000771c0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +000771d0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +000771e0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000771f0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +00077200: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00077210: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00077220: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00077230: 2069 643d 2269 646d 3433 3731 223e 3c74   id="idm4371"><t
│ │ │ +00077240: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00077250: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00077260: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00077270: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00077280: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00077290: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +000772a0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000772b0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +000772c0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000772d0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +000772e0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +000772f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00077300: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00077310: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00077320: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00077330: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ +00077340: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ +00077350: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ +00077360: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ +00077370: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ +00077380: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ +00077390: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ +000773a0: 737d 5c6e 2720 276c 6962 7061 6d2d 7275  s}\n' 'libpam-ru
│ │ │ +000773b0: 6e74 696d 6527 2032 2667 743b 2f64 6576  ntime' 2&gt;/dev
│ │ │ +000773c0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ +000773d0: 275e 696e 7374 616c 6c65 6427 3b20 7468  '^installed'; th
│ │ │ +000773e0: 656e 0a0a 4445 4249 414e 5f46 524f 4e54  en..DEBIAN_FRONT
│ │ │ +000773f0: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +00077400: 7665 2061 7074 2d67 6574 2069 6e73 7461  ve apt-get insta
│ │ │ +00077410: 6c6c 202d 7920 226c 6962 7061 6d2d 7077  ll -y "libpam-pw
│ │ │ +00077420: 7175 616c 6974 7922 0a0a 656c 7365 0a20  quality"..else. 
│ │ │ +00077430: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ +00077440: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ +00077450: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ +00077460: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ +00077470: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +00077480: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00077490: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000774a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000774b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000774c0: 612d 7461 7267 6574 3d22 2369 646d 3433  a-target="#idm43
│ │ │ +000774d0: 3732 2220 7461 6269 6e64 6578 3d22 3022  72" tabindex="0"
│ │ │ +000774e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000774f0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00077500: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00077510: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00077520: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00077530: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +00077540: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +00077550: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00077560: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00077570: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00077580: 6964 3d22 6964 6d34 3337 3222 3e3c 7072  id="idm4372"><pr
│ │ │ +00077590: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ +000775a0: 6765 735d 5d0a 6e61 6d65 203d 2022 6c69  ges]].name = "li
│ │ │ +000775b0: 6270 616d 2d70 7771 7561 6c69 7479 220a  bpam-pwquality".
│ │ │ +000775c0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ +000775d0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +000775e0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +000775f0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00077600: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00077610: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00077620: 2369 646d 3433 3733 2220 7461 6269 6e64  #idm4373" tabind
│ │ │ +00077630: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00077640: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00077650: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00077660: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00077670: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00077680: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +00077690: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +000776a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000776b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000776c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000776d0: 646d 3433 3733 223e 3c74 6162 6c65 2063  dm4373"><table c
│ │ │ +000776e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000776f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00077700: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00077710: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00077720: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00077730: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00077740: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00077750: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00077760: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00077770: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00077780: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00077790: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000777a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000777b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000777c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000777d0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +000777e0: 6c69 6270 616d 2d70 7771 7561 6c69 7479  libpam-pwquality
│ │ │ +000777f0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ +00077800: 6c69 6270 616d 2d70 7771 7561 6c69 7479  libpam-pwquality
│ │ │ +00077810: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00077820: 6c69 6270 616d 2d70 7771 7561 6c69 7479  libpam-pwquality
│ │ │ +00077830: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00077840: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ +00077850: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  00077860: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  00077870: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  00077880: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  00077890: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  000778a0: 6964 3d22 6368 696c 6472 656e 2d78 6363  id="children-xcc
│ │ │  000778b0: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  000778c0: 742e 636f 6e74 656e 745f 6772 6f75 705f  t.content_group_
│ │ │ @@ -37140,163 +37140,163 @@
│ │ │  00091130: 7461 2d74 6172 6765 743d 2223 6964 6d37  ta-target="#idm7
│ │ │  00091140: 3638 3222 2074 6162 696e 6465 783d 2230  682" tabindex="0
│ │ │  00091150: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00091160: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00091170: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00091180: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00091190: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -000911a0: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -000911b0: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -000911c0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000911d0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000911e0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000911f0: 2069 643d 2269 646d 3736 3832 223e 3c70   id="idm7682"><p
│ │ │ -00091200: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ -00091210: 6167 6573 5d5d 0a6e 616d 6520 3d20 2261  ages]].name = "a
│ │ │ -00091220: 7070 6172 6d6f 7222 0a76 6572 7369 6f6e  pparmor".version
│ │ │ -00091230: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -00091240: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00091250: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00091260: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00091270: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00091280: 2d74 6172 6765 743d 2223 6964 6d37 3638  -target="#idm768
│ │ │ -00091290: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ -000912a0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -000912b0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -000912c0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -000912d0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000912e0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000912f0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00091300: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00091310: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00091320: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00091330: 7365 2220 6964 3d22 6964 6d37 3638 3322  se" id="idm7683"
│ │ │ -00091340: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00091350: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00091360: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00091370: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00091380: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00091390: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -000913a0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000913b0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -000913c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000913d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -000913e0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -000913f0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00091400: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00091410: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00091420: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00091430: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00091440: 2069 6e73 7461 6c6c 5f61 7070 6172 6d6f   install_apparmo
│ │ │ -00091450: 720a 0a63 6c61 7373 2069 6e73 7461 6c6c  r..class install
│ │ │ -00091460: 5f61 7070 6172 6d6f 7220 7b0a 2020 7061  _apparmor {.  pa
│ │ │ -00091470: 636b 6167 6520 7b20 2761 7070 6172 6d6f  ckage { 'apparmo
│ │ │ -00091480: 7227 3a0a 2020 2020 656e 7375 7265 203d  r':.    ensure =
│ │ │ -00091490: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ -000914a0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -000914b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000914c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000914d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000914e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000914f0: 612d 7461 7267 6574 3d22 2369 646d 3736  a-target="#idm76
│ │ │ -00091500: 3834 2220 7461 6269 6e64 6578 3d22 3022  84" tabindex="0"
│ │ │ -00091510: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00091520: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00091530: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00091540: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00091550: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00091560: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -00091570: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00091580: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00091590: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -000915a0: 6170 7365 2220 6964 3d22 6964 6d37 3638  apse" id="idm768
│ │ │ -000915b0: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ -000915c0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -000915d0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -000915e0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -000915f0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00091600: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00091610: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00091620: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00091630: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00091640: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00091650: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00091660: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00091670: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00091680: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00091690: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -000916a0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -000916b0: 653a 2045 6e73 7572 6520 6170 7061 726d  e: Ensure apparm
│ │ │ -000916c0: 6f72 2069 7320 696e 7374 616c 6c65 640a  or is installed.
│ │ │ -000916d0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -000916e0: 616d 653a 2061 7070 6172 6d6f 720a 2020  ame: apparmor.  
│ │ │ -000916f0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00091700: 0a20 2077 6865 6e3a 2061 6e73 6962 6c65  .  when: ansible
│ │ │ -00091710: 5f76 6972 7475 616c 697a 6174 696f 6e5f  _virtualization_
│ │ │ -00091720: 7479 7065 206e 6f74 2069 6e20 5b22 646f  type not in ["do
│ │ │ -00091730: 636b 6572 222c 2022 6c78 6322 2c20 226f  cker", "lxc", "o
│ │ │ -00091740: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22  penvz", "podman"
│ │ │ -00091750: 2c20 2263 6f6e 7461 696e 6572 225d 0a20  , "container"]. 
│ │ │ -00091760: 2074 6167 733a 0a20 202d 2065 6e61 626c   tags:.  - enabl
│ │ │ -00091770: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00091780: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00091790: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -000917a0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -000917b0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -000917c0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -000917d0: 636b 6167 655f 6170 7061 726d 6f72 5f69  ckage_apparmor_i
│ │ │ -000917e0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ -000917f0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00091800: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00091810: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00091820: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00091830: 7461 2d74 6172 6765 743d 2223 6964 6d37  ta-target="#idm7
│ │ │ -00091840: 3638 3522 2074 6162 696e 6465 783d 2230  685" tabindex="0
│ │ │ -00091850: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00091860: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00091870: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00091880: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00091890: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -000918a0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -000918b0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -000918c0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000918d0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000918e0: 7365 2220 6964 3d22 6964 6d37 3638 3522  se" id="idm7685"
│ │ │ -000918f0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00091900: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00091910: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00091920: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00091930: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00091940: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00091950: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00091960: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00091970: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00091980: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00091990: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -000919a0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000919b0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -000919c0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -000919d0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -000919e0: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ -000919f0: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ -00091a00: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ -00091a10: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ -00091a20: 6620 5b20 2120 2d66 202f 2e64 6f63 6b65  f [ ! -f /.docke
│ │ │ -00091a30: 7265 6e76 205d 2026 616d 703b 2661 6d70  renv ] &amp;&amp
│ │ │ -00091a40: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63  ; [ ! -f /run/.c
│ │ │ -00091a50: 6f6e 7461 696e 6572 656e 7620 5d3b 2074  ontainerenv ]; t
│ │ │ -00091a60: 6865 6e0a 0a44 4542 4941 4e5f 4652 4f4e  hen..DEBIAN_FRON
│ │ │ -00091a70: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -00091a80: 6976 6520 6170 742d 6765 7420 696e 7374  ive apt-get inst
│ │ │ -00091a90: 616c 6c20 2d79 2022 6170 7061 726d 6f72  all -y "apparmor
│ │ │ -00091aa0: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ -00091ab0: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ -00091ac0: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ -00091ad0: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ -00091ae0: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +000911a0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +000911b0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000911c0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000911d0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000911e0: 6c61 7073 6522 2069 643d 2269 646d 3736  lapse" id="idm76
│ │ │ +000911f0: 3832 223e 3c74 6162 6c65 2063 6c61 7373  82"><table class
│ │ │ +00091200: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00091210: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00091220: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00091230: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00091240: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00091250: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00091260: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00091270: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00091280: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00091290: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000912a0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000912b0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +000912c0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +000912d0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000912e0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +000912f0: 6d65 3a20 456e 7375 7265 2061 7070 6172  me: Ensure appar
│ │ │ +00091300: 6d6f 7220 6973 2069 6e73 7461 6c6c 6564  mor is installed
│ │ │ +00091310: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00091320: 6e61 6d65 3a20 6170 7061 726d 6f72 0a20  name: apparmor. 
│ │ │ +00091330: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00091340: 740a 2020 7768 656e 3a20 616e 7369 626c  t.  when: ansibl
│ │ │ +00091350: 655f 7669 7274 7561 6c69 7a61 7469 6f6e  e_virtualization
│ │ │ +00091360: 5f74 7970 6520 6e6f 7420 696e 205b 2264  _type not in ["d
│ │ │ +00091370: 6f63 6b65 7222 2c20 226c 7863 222c 2022  ocker", "lxc", "
│ │ │ +00091380: 6f70 656e 767a 222c 2022 706f 646d 616e  openvz", "podman
│ │ │ +00091390: 222c 2022 636f 6e74 6169 6e65 7222 5d0a  ", "container"].
│ │ │ +000913a0: 2020 7461 6773 3a0a 2020 2d20 656e 6162    tags:.  - enab
│ │ │ +000913b0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +000913c0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +000913d0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +000913e0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +000913f0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00091400: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00091410: 6163 6b61 6765 5f61 7070 6172 6d6f 725f  ackage_apparmor_
│ │ │ +00091420: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +00091430: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00091440: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00091450: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00091460: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00091470: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00091480: 3736 3833 2220 7461 6269 6e64 6578 3d22  7683" tabindex="
│ │ │ +00091490: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +000914a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +000914b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +000914c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +000914d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +000914e0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +000914f0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +00091500: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00091510: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00091520: 7073 6522 2069 643d 2269 646d 3736 3833  pse" id="idm7683
│ │ │ +00091530: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00091540: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00091550: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00091560: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00091570: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00091580: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00091590: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000915a0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000915b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000915c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000915d0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000915e0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000915f0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00091600: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00091610: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00091620: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ +00091630: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ +00091640: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ +00091650: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ +00091660: 6966 205b 2021 202d 6620 2f2e 646f 636b  if [ ! -f /.dock
│ │ │ +00091670: 6572 656e 7620 5d20 2661 6d70 3b26 616d  erenv ] &amp;&am
│ │ │ +00091680: 703b 205b 2021 202d 6620 2f72 756e 2f2e  p; [ ! -f /run/.
│ │ │ +00091690: 636f 6e74 6169 6e65 7265 6e76 205d 3b20  containerenv ]; 
│ │ │ +000916a0: 7468 656e 0a0a 4445 4249 414e 5f46 524f  then..DEBIAN_FRO
│ │ │ +000916b0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +000916c0: 7469 7665 2061 7074 2d67 6574 2069 6e73  tive apt-get ins
│ │ │ +000916d0: 7461 6c6c 202d 7920 2261 7070 6172 6d6f  tall -y "apparmo
│ │ │ +000916e0: 7222 0a0a 656c 7365 0a20 2020 2026 6774  r"..else.    &gt
│ │ │ +000916f0: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ +00091700: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ +00091710: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ +00091720: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ +00091730: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +00091740: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00091750: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00091760: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00091770: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00091780: 6574 3d22 2369 646d 3736 3834 2220 7461  et="#idm7684" ta
│ │ │ +00091790: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +000917a0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +000917b0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +000917c0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +000917d0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +000917e0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +000917f0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +00091800: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00091810: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00091820: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00091830: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00091840: 6d37 3638 3422 3e3c 7072 653e 3c63 6f64  m7684"><pre><cod
│ │ │ +00091850: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ +00091860: 6e61 6d65 203d 2022 6170 7061 726d 6f72  name = "apparmor
│ │ │ +00091870: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ +00091880: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00091890: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000918a0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000918b0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +000918c0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000918d0: 3d22 2369 646d 3736 3835 2220 7461 6269  ="#idm7685" tabi
│ │ │ +000918e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000918f0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00091900: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00091910: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00091920: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00091930: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00091940: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00091950: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00091960: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00091970: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00091980: 2269 646d 3736 3835 223e 3c74 6162 6c65  "idm7685"><table
│ │ │ +00091990: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000919a0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000919b0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000919c0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000919d0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000919e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000919f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00091a00: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00091a10: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00091a20: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00091a30: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00091a40: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00091a50: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00091a60: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00091a70: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00091a80: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ +00091a90: 6c5f 6170 7061 726d 6f72 0a0a 636c 6173  l_apparmor..clas
│ │ │ +00091aa0: 7320 696e 7374 616c 6c5f 6170 7061 726d  s install_apparm
│ │ │ +00091ab0: 6f72 207b 0a20 2070 6163 6b61 6765 207b  or {.  package {
│ │ │ +00091ac0: 2027 6170 7061 726d 6f72 273a 0a20 2020   'apparmor':.   
│ │ │ +00091ad0: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +00091ae0: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │  00091af0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  00091b00: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  00091b10: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  00091b20: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c74  ble></td></tr><t
│ │ │  00091b30: 7220 6461 7461 2d74 742d 6964 3d22 7863  r data-tt-id="xc
│ │ │  00091b40: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00091b50: 6374 2e63 6f6e 7465 6e74 5f72 756c 655f  ct.content_rule_
│ │ │ @@ -37464,177 +37464,177 @@
│ │ │  00092570: 2d74 6172 6765 743d 2223 6964 6d37 3731  -target="#idm771
│ │ │  00092580: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │  00092590: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  000925a0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  000925b0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  000925c0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  000925d0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000925e0: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ -000925f0: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ -00092600: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00092610: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00092620: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00092630: 643d 2269 646d 3737 3137 223e 3c70 7265  d="idm7717"><pre
│ │ │ -00092640: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -00092650: 6573 5d5d 0a6e 616d 6520 3d20 226c 6962  es]].name = "lib
│ │ │ -00092660: 7061 6d2d 6170 7061 726d 6f72 220a 7665  pam-apparmor".ve
│ │ │ -00092670: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -00092680: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00092690: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000926a0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000926b0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000926c0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000926d0: 646d 3737 3138 2220 7461 6269 6e64 6578  dm7718" tabindex
│ │ │ -000926e0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -000926f0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00092700: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00092710: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00092720: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00092730: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00092740: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00092750: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00092760: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00092770: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00092780: 3737 3138 223e 3c74 6162 6c65 2063 6c61  7718"><table cla
│ │ │ -00092790: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000927a0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000927b0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000927c0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000927d0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000927e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000927f0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00092800: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00092810: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00092820: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00092830: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00092840: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00092850: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00092860: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00092870: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00092880: 636c 7564 6520 696e 7374 616c 6c5f 6c69  clude install_li
│ │ │ -00092890: 6270 616d 2d61 7070 6172 6d6f 720a 0a63  bpam-apparmor..c
│ │ │ -000928a0: 6c61 7373 2069 6e73 7461 6c6c 5f6c 6962  lass install_lib
│ │ │ -000928b0: 7061 6d2d 6170 7061 726d 6f72 207b 0a20  pam-apparmor {. 
│ │ │ -000928c0: 2070 6163 6b61 6765 207b 2027 6c69 6270   package { 'libp
│ │ │ -000928d0: 616d 2d61 7070 6172 6d6f 7227 3a0a 2020  am-apparmor':.  
│ │ │ -000928e0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -000928f0: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -00092900: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00092910: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00092920: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00092930: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00092940: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00092950: 6574 3d22 2369 646d 3737 3139 2220 7461  et="#idm7719" ta
│ │ │ -00092960: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00092970: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00092980: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00092990: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -000929a0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -000929b0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000929c0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -000929d0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -000929e0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -000929f0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00092a00: 6964 3d22 6964 6d37 3731 3922 3e3c 7461  id="idm7719"><ta
│ │ │ -00092a10: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00092a20: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00092a30: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00092a40: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00092a50: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00092a60: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00092a70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00092a80: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00092a90: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00092aa0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00092ab0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00092ac0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00092ad0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00092ae0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00092af0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00092b00: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -00092b10: 7572 6520 6c69 6270 616d 2d61 7070 6172  ure libpam-appar
│ │ │ -00092b20: 6d6f 7220 6973 2069 6e73 7461 6c6c 6564  mor is installed
│ │ │ -00092b30: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00092b40: 6e61 6d65 3a20 6c69 6270 616d 2d61 7070  name: libpam-app
│ │ │ -00092b50: 6172 6d6f 720a 2020 2020 7374 6174 653a  armor.    state:
│ │ │ -00092b60: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ -00092b70: 2061 6e73 6962 6c65 5f76 6972 7475 616c   ansible_virtual
│ │ │ -00092b80: 697a 6174 696f 6e5f 7479 7065 206e 6f74  ization_type not
│ │ │ -00092b90: 2069 6e20 5b22 646f 636b 6572 222c 2022   in ["docker", "
│ │ │ -00092ba0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20  lxc", "openvz", 
│ │ │ -00092bb0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461  "podman", "conta
│ │ │ -00092bc0: 696e 6572 225d 0a20 2074 6167 733a 0a20  iner"].  tags:. 
│ │ │ -00092bd0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00092be0: 432d 3328 3429 0a20 202d 204e 4953 542d  C-3(4).  - NIST-
│ │ │ -00092bf0: 3830 302d 3533 2d41 432d 3628 3130 290a  800-53-AC-6(10).
│ │ │ -00092c00: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00092c10: 4143 2d36 2838 290a 2020 2d20 4e49 5354  AC-6(8).  - NIST
│ │ │ -00092c20: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00092c30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00092c40: 434d 2d37 2832 290a 2020 2d20 4e49 5354  CM-7(2).  - NIST
│ │ │ -00092c50: 2d38 3030 2d35 332d 434d 2d37 2835 2928  -800-53-CM-7(5)(
│ │ │ -00092c60: 6229 0a20 202d 204e 4953 542d 3830 302d  b).  - NIST-800-
│ │ │ -00092c70: 3533 2d53 432d 3728 3231 290a 2020 2d20  53-SC-7(21).  - 
│ │ │ -00092c80: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -00092c90: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00092ca0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00092cb0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -00092cc0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -00092cd0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00092ce0: 202d 2070 6163 6b61 6765 5f70 616d 5f61   - package_pam_a
│ │ │ -00092cf0: 7070 6172 6d6f 725f 696e 7374 616c 6c65  pparmor_installe
│ │ │ -00092d00: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -00092d10: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00092d20: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00092d30: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00092d40: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00092d50: 6574 3d22 2369 646d 3737 3230 2220 7461  et="#idm7720" ta
│ │ │ -00092d60: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00092d70: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00092d80: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00092d90: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00092da0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00092db0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00092dc0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -00092dd0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00092de0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00092df0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00092e00: 2269 646d 3737 3230 223e 3c74 6162 6c65  "idm7720"><table
│ │ │ -00092e10: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00092e20: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00092e30: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00092e40: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00092e50: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00092e60: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00092e70: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00092e80: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00092e90: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00092ea0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00092eb0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00092ec0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00092ed0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -00092ee0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -00092ef0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00092f00: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ -00092f10: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ -00092f20: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ -00092f30: 6174 666f 726d 730a 6966 205b 2021 202d  atforms.if [ ! -
│ │ │ -00092f40: 6620 2f2e 646f 636b 6572 656e 7620 5d20  f /.dockerenv ] 
│ │ │ -00092f50: 2661 6d70 3b26 616d 703b 205b 2021 202d  &amp;&amp; [ ! -
│ │ │ -00092f60: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65  f /run/.containe
│ │ │ -00092f70: 7265 6e76 205d 3b20 7468 656e 0a0a 4445  renv ]; then..DE
│ │ │ -00092f80: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ -00092f90: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ -00092fa0: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ -00092fb0: 226c 6962 7061 6d2d 6170 7061 726d 6f72  "libpam-apparmor
│ │ │ -00092fc0: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ -00092fd0: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ -00092fe0: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ -00092ff0: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ -00093000: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +000925e0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +000925f0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00092600: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00092610: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00092620: 7073 6522 2069 643d 2269 646d 3737 3137  pse" id="idm7717
│ │ │ +00092630: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00092640: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00092650: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00092660: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00092670: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00092680: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00092690: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000926a0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000926b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000926c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000926d0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000926e0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000926f0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00092700: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00092710: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00092720: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00092730: 3a20 456e 7375 7265 206c 6962 7061 6d2d  : Ensure libpam-
│ │ │ +00092740: 6170 7061 726d 6f72 2069 7320 696e 7374  apparmor is inst
│ │ │ +00092750: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +00092760: 0a20 2020 206e 616d 653a 206c 6962 7061  .    name: libpa
│ │ │ +00092770: 6d2d 6170 7061 726d 6f72 0a20 2020 2073  m-apparmor.    s
│ │ │ +00092780: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ +00092790: 7768 656e 3a20 616e 7369 626c 655f 7669  when: ansible_vi
│ │ │ +000927a0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970  rtualization_typ
│ │ │ +000927b0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65  e not in ["docke
│ │ │ +000927c0: 7222 2c20 226c 7863 222c 2022 6f70 656e  r", "lxc", "open
│ │ │ +000927d0: 767a 222c 2022 706f 646d 616e 222c 2022  vz", "podman", "
│ │ │ +000927e0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461  container"].  ta
│ │ │ +000927f0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00092800: 2d35 332d 4143 2d33 2834 290a 2020 2d20  -53-AC-3(4).  - 
│ │ │ +00092810: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00092820: 2831 3029 0a20 202d 204e 4953 542d 3830  (10).  - NIST-80
│ │ │ +00092830: 302d 3533 2d41 432d 3628 3829 0a20 202d  0-53-AC-6(8).  -
│ │ │ +00092840: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00092850: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +00092860: 302d 3533 2d43 4d2d 3728 3229 0a20 202d  0-53-CM-7(2).  -
│ │ │ +00092870: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00092880: 3728 3529 2862 290a 2020 2d20 4e49 5354  7(5)(b).  - NIST
│ │ │ +00092890: 2d38 3030 2d35 332d 5343 2d37 2832 3129  -800-53-SC-7(21)
│ │ │ +000928a0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +000928b0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +000928c0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +000928d0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +000928e0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +000928f0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00092900: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00092910: 7061 6d5f 6170 7061 726d 6f72 5f69 6e73  pam_apparmor_ins
│ │ │ +00092920: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00092930: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00092940: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00092950: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00092960: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00092970: 2d74 6172 6765 743d 2223 6964 6d37 3731  -target="#idm771
│ │ │ +00092980: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ +00092990: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +000929a0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +000929b0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +000929c0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +000929d0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +000929e0: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +000929f0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00092a00: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00092a10: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00092a20: 2220 6964 3d22 6964 6d37 3731 3822 3e3c  " id="idm7718"><
│ │ │ +00092a30: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00092a40: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00092a50: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00092a60: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00092a70: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00092a80: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00092a90: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00092aa0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00092ab0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00092ac0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00092ad0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00092ae0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00092af0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00092b00: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00092b10: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00092b20: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ +00092b30: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ +00092b40: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ +00092b50: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ +00092b60: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265  [ ! -f /.dockere
│ │ │ +00092b70: 6e76 205d 2026 616d 703b 2661 6d70 3b20  nv ] &amp;&amp; 
│ │ │ +00092b80: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e  [ ! -f /run/.con
│ │ │ +00092b90: 7461 696e 6572 656e 7620 5d3b 2074 6865  tainerenv ]; the
│ │ │ +00092ba0: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ +00092bb0: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +00092bc0: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ +00092bd0: 6c20 2d79 2022 6c69 6270 616d 2d61 7070  l -y "libpam-app
│ │ │ +00092be0: 6172 6d6f 7222 0a0a 656c 7365 0a20 2020  armor"..else.   
│ │ │ +00092bf0: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ +00092c00: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ +00092c10: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ +00092c20: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ +00092c30: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +00092c40: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00092c50: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00092c60: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00092c70: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00092c80: 7461 7267 6574 3d22 2369 646d 3737 3139  target="#idm7719
│ │ │ +00092c90: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00092ca0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00092cb0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00092cc0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00092cd0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00092ce0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00092cf0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +00092d00: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +00092d10: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00092d20: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00092d30: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00092d40: 3d22 6964 6d37 3731 3922 3e3c 7072 653e  ="idm7719"><pre>
│ │ │ +00092d50: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +00092d60: 735d 5d0a 6e61 6d65 203d 2022 6c69 6270  s]].name = "libp
│ │ │ +00092d70: 616d 2d61 7070 6172 6d6f 7222 0a76 6572  am-apparmor".ver
│ │ │ +00092d80: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ +00092d90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00092da0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00092db0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00092dc0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00092dd0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00092de0: 6d37 3732 3022 2074 6162 696e 6465 783d  m7720" tabindex=
│ │ │ +00092df0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00092e00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00092e10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00092e20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00092e30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00092e40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00092e50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00092e60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00092e70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00092e80: 6c6c 6170 7365 2220 6964 3d22 6964 6d37  llapse" id="idm7
│ │ │ +00092e90: 3732 3022 3e3c 7461 626c 6520 636c 6173  720"><table clas
│ │ │ +00092ea0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00092eb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00092ec0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00092ed0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00092ee0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00092ef0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00092f00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00092f10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00092f20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00092f30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00092f40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00092f50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00092f60: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00092f70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00092f80: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00092f90: 6c75 6465 2069 6e73 7461 6c6c 5f6c 6962  lude install_lib
│ │ │ +00092fa0: 7061 6d2d 6170 7061 726d 6f72 0a0a 636c  pam-apparmor..cl
│ │ │ +00092fb0: 6173 7320 696e 7374 616c 6c5f 6c69 6270  ass install_libp
│ │ │ +00092fc0: 616d 2d61 7070 6172 6d6f 7220 7b0a 2020  am-apparmor {.  
│ │ │ +00092fd0: 7061 636b 6167 6520 7b20 276c 6962 7061  package { 'libpa
│ │ │ +00092fe0: 6d2d 6170 7061 726d 6f72 273a 0a20 2020  m-apparmor':.   
│ │ │ +00092ff0: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +00093000: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │  00093010: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  00093020: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  00093030: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  00093040: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c74  ble></td></tr><t
│ │ │  00093050: 7220 6461 7461 2d74 742d 6964 3d22 7863  r data-tt-id="xc
│ │ │  00093060: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00093070: 6374 2e63 6f6e 7465 6e74 5f72 756c 655f  ct.content_rule_
│ │ │ @@ -38329,108 +38329,108 @@
│ │ │  00095b80: 7461 7267 6574 3d22 2369 646d 3737 3734  target="#idm7774
│ │ │  00095b90: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00095ba0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  00095bb0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  00095bc0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  00095bd0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  00095be0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00095bf0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -00095c00: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -00095c10: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00095c20: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00095c30: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00095c40: 3d22 6964 6d37 3737 3422 3e3c 7072 653e  ="idm7774"><pre>
│ │ │ -00095c50: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ -00095c60: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ -00095c70: 0a65 6e61 626c 6564 203d 205b 2261 7070  .enabled = ["app
│ │ │ -00095c80: 6172 6d6f 7222 5d0a 3c2f 636f 6465 3e3c  armor"].</code><
│ │ │ -00095c90: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00095ca0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00095cb0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00095cc0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00095cd0: 612d 7461 7267 6574 3d22 2369 646d 3737  a-target="#idm77
│ │ │ -00095ce0: 3735 2220 7461 6269 6e64 6578 3d22 3022  75" tabindex="0"
│ │ │ -00095cf0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00095d00: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00095d10: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00095d20: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00095d30: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00095d40: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00095d50: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00095d60: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00095d70: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00095d80: 7073 6522 2069 643d 2269 646d 3737 3735  pse" id="idm7775
│ │ │ -00095d90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00095da0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00095db0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00095dc0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00095dd0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00095de0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00095df0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00095e00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00095e10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00095e20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00095e30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00095e40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00095e50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00095e60: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00095e70: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00095e80: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00095e90: 6520 656e 6162 6c65 5f61 7070 6172 6d6f  e enable_apparmo
│ │ │ -00095ea0: 720a 0a63 6c61 7373 2065 6e61 626c 655f  r..class enable_
│ │ │ -00095eb0: 6170 7061 726d 6f72 207b 0a20 2073 6572  apparmor {.  ser
│ │ │ -00095ec0: 7669 6365 207b 2761 7070 6172 6d6f 7227  vice {'apparmor'
│ │ │ -00095ed0: 3a0a 2020 2020 656e 6162 6c65 203d 2667  :.    enable =&g
│ │ │ -00095ee0: 743b 2074 7275 652c 0a20 2020 2065 6e73  t; true,.    ens
│ │ │ -00095ef0: 7572 6520 3d26 6774 3b20 2772 756e 6e69  ure =&gt; 'runni
│ │ │ -00095f00: 6e67 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ng',.  }.}.</cod
│ │ │ -00095f10: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00095f20: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00095f30: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00095f40: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00095f50: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00095f60: 6d37 3737 3622 2074 6162 696e 6465 783d  m7776" tabindex=
│ │ │ -00095f70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00095f80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00095f90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00095fa0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00095fb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00095fc0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00095fd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00095fe0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00095ff0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00096000: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00096010: 3737 3736 223e 3c70 7265 3e3c 636f 6465  7776"><pre><code
│ │ │ -00096020: 3e2d 206e 616d 653a 2053 7461 7274 2061  >- name: Start a
│ │ │ -00096030: 7070 6172 6d6f 722e 7365 7276 6963 650a  pparmor.service.
│ │ │ -00096040: 2020 7379 7374 656d 643a 0a20 2020 206e    systemd:.    n
│ │ │ -00096050: 616d 653a 2061 7070 6172 6d6f 722e 7365  ame: apparmor.se
│ │ │ -00096060: 7276 6963 650a 2020 2020 7374 6174 653a  rvice.    state:
│ │ │ -00096070: 2073 7461 7274 6564 0a20 2020 2065 6e61   started.    ena
│ │ │ -00096080: 626c 6564 3a20 7472 7565 0a20 2077 6865  bled: true.  whe
│ │ │ -00096090: 6e3a 2061 6e73 6962 6c65 5f76 6972 7475  n: ansible_virtu
│ │ │ -000960a0: 616c 697a 6174 696f 6e5f 7479 7065 206e  alization_type n
│ │ │ -000960b0: 6f74 2069 6e20 5b22 646f 636b 6572 222c  ot in ["docker",
│ │ │ -000960c0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22   "lxc", "openvz"
│ │ │ -000960d0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e  , "podman", "con
│ │ │ -000960e0: 7461 696e 6572 225d 0a20 2074 6167 733a  tainer"].  tags:
│ │ │ -000960f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00096100: 2d41 432d 3328 3429 0a20 202d 204e 4953  -AC-3(4).  - NIS
│ │ │ -00096110: 542d 3830 302d 3533 2d41 432d 3628 3130  T-800-53-AC-6(10
│ │ │ -00096120: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00096130: 332d 4143 2d36 2838 290a 2020 2d20 4e49  3-AC-6(8).  - NI
│ │ │ -00096140: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00096150: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00096160: 332d 434d 2d37 2832 290a 2020 2d20 4e49  3-CM-7(2).  - NI
│ │ │ -00096170: 5354 2d38 3030 2d35 332d 434d 2d37 2835  ST-800-53-CM-7(5
│ │ │ -00096180: 2928 6229 0a20 202d 204e 4953 542d 3830  )(b).  - NIST-80
│ │ │ -00096190: 302d 3533 2d53 432d 3728 3231 290a 2020  0-53-SC-7(21).  
│ │ │ -000961a0: 2d20 6170 7061 726d 6f72 5f63 6f6e 6669  - apparmor_confi
│ │ │ -000961b0: 6775 7265 640a 2020 2d20 6d65 6469 756d  gured.  - medium
│ │ │ -000961c0: 5f73 6576 6572 6974 790a 3c2f 636f 6465  _severity.</code
│ │ │ +00095bf0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +00095c00: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00095c10: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00095c20: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00095c30: 7365 2220 6964 3d22 6964 6d37 3737 3422  se" id="idm7774"
│ │ │ +00095c40: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00095c50: 6d65 3a20 5374 6172 7420 6170 7061 726d  me: Start apparm
│ │ │ +00095c60: 6f72 2e73 6572 7669 6365 0a20 2073 7973  or.service.  sys
│ │ │ +00095c70: 7465 6d64 3a0a 2020 2020 6e61 6d65 3a20  temd:.    name: 
│ │ │ +00095c80: 6170 7061 726d 6f72 2e73 6572 7669 6365  apparmor.service
│ │ │ +00095c90: 0a20 2020 2073 7461 7465 3a20 7374 6172  .    state: star
│ │ │ +00095ca0: 7465 640a 2020 2020 656e 6162 6c65 643a  ted.    enabled:
│ │ │ +00095cb0: 2074 7275 650a 2020 7768 656e 3a20 616e   true.  when: an
│ │ │ +00095cc0: 7369 626c 655f 7669 7274 7561 6c69 7a61  sible_virtualiza
│ │ │ +00095cd0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e  tion_type not in
│ │ │ +00095ce0: 205b 2264 6f63 6b65 7222 2c20 226c 7863   ["docker", "lxc
│ │ │ +00095cf0: 222c 2022 6f70 656e 767a 222c 2022 706f  ", "openvz", "po
│ │ │ +00095d00: 646d 616e 222c 2022 636f 6e74 6169 6e65  dman", "containe
│ │ │ +00095d10: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20  r"].  tags:.  - 
│ │ │ +00095d20: 4e49 5354 2d38 3030 2d35 332d 4143 2d33  NIST-800-53-AC-3
│ │ │ +00095d30: 2834 290a 2020 2d20 4e49 5354 2d38 3030  (4).  - NIST-800
│ │ │ +00095d40: 2d35 332d 4143 2d36 2831 3029 0a20 202d  -53-AC-6(10).  -
│ │ │ +00095d50: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +00095d60: 3628 3829 0a20 202d 204e 4953 542d 3830  6(8).  - NIST-80
│ │ │ +00095d70: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00095d80: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00095d90: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ +00095da0: 302d 3533 2d43 4d2d 3728 3529 2862 290a  0-53-CM-7(5)(b).
│ │ │ +00095db0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00095dc0: 5343 2d37 2832 3129 0a20 202d 2061 7070  SC-7(21).  - app
│ │ │ +00095dd0: 6172 6d6f 725f 636f 6e66 6967 7572 6564  armor_configured
│ │ │ +00095de0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00095df0: 7269 7479 0a3c 2f63 6f64 653e 3c2f 7072  rity.</code></pr
│ │ │ +00095e00: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00095e10: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00095e20: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00095e30: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00095e40: 6172 6765 743d 2223 6964 6d37 3737 3522  arget="#idm7775"
│ │ │ +00095e50: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00095e60: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00095e70: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00095e80: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00095e90: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00095ea0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00095eb0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +00095ec0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +00095ed0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00095ee0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00095ef0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00095f00: 2269 646d 3737 3735 223e 3c70 7265 3e3c  "idm7775"><pre><
│ │ │ +00095f10: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ +00095f20: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ +00095f30: 656e 6162 6c65 6420 3d20 5b22 6170 7061  enabled = ["appa
│ │ │ +00095f40: 726d 6f72 225d 0a3c 2f63 6f64 653e 3c2f  rmor"].</code></
│ │ │ +00095f50: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00095f60: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00095f70: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00095f80: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00095f90: 2d74 6172 6765 743d 2223 6964 6d37 3737  -target="#idm777
│ │ │ +00095fa0: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ +00095fb0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00095fc0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00095fd0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00095fe0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00095ff0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00096000: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00096010: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00096020: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00096030: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00096040: 7365 2220 6964 3d22 6964 6d37 3737 3622  se" id="idm7776"
│ │ │ +00096050: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00096060: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00096070: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00096080: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00096090: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000960a0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000960b0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000960c0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +000960d0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000960e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000960f0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00096100: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00096110: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00096120: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00096130: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00096140: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00096150: 2065 6e61 626c 655f 6170 7061 726d 6f72   enable_apparmor
│ │ │ +00096160: 0a0a 636c 6173 7320 656e 6162 6c65 5f61  ..class enable_a
│ │ │ +00096170: 7070 6172 6d6f 7220 7b0a 2020 7365 7276  pparmor {.  serv
│ │ │ +00096180: 6963 6520 7b27 6170 7061 726d 6f72 273a  ice {'apparmor':
│ │ │ +00096190: 0a20 2020 2065 6e61 626c 6520 3d26 6774  .    enable =&gt
│ │ │ +000961a0: 3b20 7472 7565 2c0a 2020 2020 656e 7375  ; true,.    ensu
│ │ │ +000961b0: 7265 203d 2667 743b 2027 7275 6e6e 696e  re =&gt; 'runnin
│ │ │ +000961c0: 6727 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  g',.  }.}.</code
│ │ │  000961d0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  000961e0: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  000961f0: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  00096200: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  00096210: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  00096220: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  00096230: 656e 745f 7275 6c65 5f67 7275 6232 5f65  ent_rule_grub2_e
│ │ │ @@ -54018,188 +54018,188 @@
│ │ │  000d3010: 6172 6765 743d 2223 6964 6d31 3035 3532  arget="#idm10552
│ │ │  000d3020: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  000d3030: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  000d3040: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  000d3050: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  000d3060: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  000d3070: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000d3080: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -000d3090: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -000d30a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000d30b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000d30c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -000d30d0: 3d22 6964 6d31 3035 3532 223e 3c70 7265  ="idm10552"><pre
│ │ │ -000d30e0: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -000d30f0: 6573 5d5d 0a6e 616d 6520 3d20 226c 6f67  es]].name = "log
│ │ │ -000d3100: 726f 7461 7465 220a 7665 7273 696f 6e20  rotate".version 
│ │ │ -000d3110: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ -000d3120: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000d3130: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -000d3140: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -000d3150: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -000d3160: 7461 7267 6574 3d22 2369 646d 3130 3535  target="#idm1055
│ │ │ -000d3170: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ -000d3180: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -000d3190: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -000d31a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -000d31b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000d31c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000d31d0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -000d31e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000d31f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000d3200: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000d3210: 7365 2220 6964 3d22 6964 6d31 3035 3533  se" id="idm10553
│ │ │ -000d3220: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000d3230: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000d3240: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000d3250: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000d3260: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000d3270: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000d3280: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000d3290: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000d32a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000d32b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000d32c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000d32d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000d32e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000d32f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -000d3300: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000d3310: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -000d3320: 6520 696e 7374 616c 6c5f 6c6f 6772 6f74  e install_logrot
│ │ │ -000d3330: 6174 650a 0a63 6c61 7373 2069 6e73 7461  ate..class insta
│ │ │ -000d3340: 6c6c 5f6c 6f67 726f 7461 7465 207b 0a20  ll_logrotate {. 
│ │ │ -000d3350: 2070 6163 6b61 6765 207b 2027 6c6f 6772   package { 'logr
│ │ │ -000d3360: 6f74 6174 6527 3a0a 2020 2020 656e 7375  otate':.    ensu
│ │ │ -000d3370: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -000d3380: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -000d3390: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000d33a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000d33b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000d33c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000d33d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000d33e0: 646d 3130 3535 3422 2074 6162 696e 6465  dm10554" tabinde
│ │ │ -000d33f0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -000d3400: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -000d3410: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -000d3420: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -000d3430: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000d3440: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -000d3450: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -000d3460: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000d3470: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000d3480: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000d3490: 646d 3130 3535 3422 3e3c 7461 626c 6520  dm10554"><table 
│ │ │ -000d34a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -000d34b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -000d34c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -000d34d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -000d34e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -000d34f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000d3500: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -000d3510: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000d3520: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000d3530: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -000d3540: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -000d3550: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -000d3560: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -000d3570: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000d3580: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -000d3590: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -000d35a0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -000d35b0: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -000d35c0: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -000d35d0: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -000d35e0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -000d35f0: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -000d3600: 2d52 6571 2d31 302e 370a 2020 2d20 5043  -Req-10.7.  - PC
│ │ │ -000d3610: 492d 4453 5376 342d 3130 2e35 0a20 202d  I-DSSv4-10.5.  -
│ │ │ -000d3620: 2050 4349 2d44 5353 7634 2d31 302e 352e   PCI-DSSv4-10.5.
│ │ │ -000d3630: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ -000d3640: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -000d3650: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -000d3660: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -000d3670: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -000d3680: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -000d3690: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -000d36a0: 5f6c 6f67 726f 7461 7465 5f69 6e73 7461  _logrotate_insta
│ │ │ -000d36b0: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -000d36c0: 7375 7265 206c 6f67 726f 7461 7465 2069  sure logrotate i
│ │ │ -000d36d0: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -000d36e0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -000d36f0: 206c 6f67 726f 7461 7465 0a20 2020 2073   logrotate.    s
│ │ │ -000d3700: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -000d3710: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -000d3720: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -000d3730: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -000d3740: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -000d3750: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -000d3760: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ -000d3770: 302e 370a 2020 2d20 5043 492d 4453 5376  0.7.  - PCI-DSSv
│ │ │ -000d3780: 342d 3130 2e35 0a20 202d 2050 4349 2d44  4-10.5.  - PCI-D
│ │ │ -000d3790: 5353 7634 2d31 302e 352e 310a 2020 2d20  SSv4-10.5.1.  - 
│ │ │ -000d37a0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -000d37b0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -000d37c0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -000d37d0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -000d37e0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -000d37f0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -000d3800: 202d 2070 6163 6b61 6765 5f6c 6f67 726f   - package_logro
│ │ │ -000d3810: 7461 7465 5f69 6e73 7461 6c6c 6564 0a3c  tate_installed.<
│ │ │ -000d3820: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -000d3830: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -000d3840: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -000d3850: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -000d3860: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -000d3870: 2223 6964 6d31 3035 3535 2220 7461 6269  "#idm10555" tabi
│ │ │ -000d3880: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -000d3890: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -000d38a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -000d38b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000d38c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000d38d0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -000d38e0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -000d38f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000d3900: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000d3910: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000d3920: 646d 3130 3535 3522 3e3c 7461 626c 6520  dm10555"><table 
│ │ │ -000d3930: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -000d3940: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -000d3950: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -000d3960: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -000d3970: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -000d3980: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000d3990: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -000d39a0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000d39b0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000d39c0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -000d39d0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -000d39e0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -000d39f0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -000d3a00: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000d3a10: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -000d3a20: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ -000d3a30: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ -000d3a40: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ -000d3a50: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ -000d3a60: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ -000d3a70: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ -000d3a80: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ -000d3a90: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ -000d3aa0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ -000d3ab0: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ -000d3ac0: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ -000d3ad0: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -000d3ae0: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ -000d3af0: 6e73 7461 6c6c 202d 7920 226c 6f67 726f  nstall -y "logro
│ │ │ -000d3b00: 7461 7465 220a 0a65 6c73 650a 2020 2020  tate"..else.    
│ │ │ -000d3b10: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ -000d3b20: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ -000d3b30: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ -000d3b40: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ -000d3b50: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +000d3080: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +000d3090: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +000d30a0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000d30b0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000d30c0: 7365 2220 6964 3d22 6964 6d31 3035 3532  se" id="idm10552
│ │ │ +000d30d0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +000d30e0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +000d30f0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +000d3100: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +000d3110: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +000d3120: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +000d3130: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000d3140: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000d3150: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000d3160: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000d3170: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000d3180: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000d3190: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +000d31a0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +000d31b0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +000d31c0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +000d31d0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +000d31e0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +000d31f0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +000d3200: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +000d3210: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +000d3220: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +000d3230: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ +000d3240: 2e37 0a20 202d 2050 4349 2d44 5353 7634  .7.  - PCI-DSSv4
│ │ │ +000d3250: 2d31 302e 350a 2020 2d20 5043 492d 4453  -10.5.  - PCI-DS
│ │ │ +000d3260: 5376 342d 3130 2e35 2e31 0a20 202d 2065  Sv4-10.5.1.  - e
│ │ │ +000d3270: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +000d3280: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +000d3290: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +000d32a0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +000d32b0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +000d32c0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +000d32d0: 2d20 7061 636b 6167 655f 6c6f 6772 6f74  - package_logrot
│ │ │ +000d32e0: 6174 655f 696e 7374 616c 6c65 640a 0a2d  ate_installed..-
│ │ │ +000d32f0: 206e 616d 653a 2045 6e73 7572 6520 6c6f   name: Ensure lo
│ │ │ +000d3300: 6772 6f74 6174 6520 6973 2069 6e73 7461  grotate is insta
│ │ │ +000d3310: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ +000d3320: 2020 2020 6e61 6d65 3a20 6c6f 6772 6f74      name: logrot
│ │ │ +000d3330: 6174 650a 2020 2020 7374 6174 653a 2070  ate.    state: p
│ │ │ +000d3340: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ +000d3350: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +000d3360: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +000d3370: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +000d3380: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000d3390: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +000d33a0: 4453 532d 5265 712d 3130 2e37 0a20 202d  DSS-Req-10.7.  -
│ │ │ +000d33b0: 2050 4349 2d44 5353 7634 2d31 302e 350a   PCI-DSSv4-10.5.
│ │ │ +000d33c0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +000d33d0: 2e35 2e31 0a20 202d 2065 6e61 626c 655f  .5.1.  - enable_
│ │ │ +000d33e0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +000d33f0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +000d3400: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +000d3410: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +000d3420: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +000d3430: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +000d3440: 6167 655f 6c6f 6772 6f74 6174 655f 696e  age_logrotate_in
│ │ │ +000d3450: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +000d3460: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +000d3470: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000d3480: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000d3490: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000d34a0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ +000d34b0: 3535 3322 2074 6162 696e 6465 783d 2230  553" tabindex="0
│ │ │ +000d34c0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +000d34d0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +000d34e0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +000d34f0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +000d3500: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000d3510: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +000d3520: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +000d3530: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000d3540: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000d3550: 7365 2220 6964 3d22 6964 6d31 3035 3533  se" id="idm10553
│ │ │ +000d3560: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +000d3570: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +000d3580: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +000d3590: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +000d35a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +000d35b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +000d35c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000d35d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000d35e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000d35f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000d3600: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000d3610: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000d3620: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +000d3630: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +000d3640: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +000d3650: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ +000d3660: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ +000d3670: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ +000d3680: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ +000d3690: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ +000d36a0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ +000d36b0: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ +000d36c0: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ +000d36d0: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ +000d36e0: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ +000d36f0: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ +000d3700: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +000d3710: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +000d3720: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ +000d3730: 2d79 2022 6c6f 6772 6f74 6174 6522 0a0a  -y "logrotate"..
│ │ │ +000d3740: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ +000d3750: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ +000d3760: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ +000d3770: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ +000d3780: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +000d3790: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +000d37a0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +000d37b0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +000d37c0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +000d37d0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000d37e0: 2369 646d 3130 3535 3422 2074 6162 696e  #idm10554" tabin
│ │ │ +000d37f0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000d3800: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000d3810: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000d3820: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000d3830: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000d3840: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +000d3850: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +000d3860: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000d3870: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000d3880: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000d3890: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +000d38a0: 3535 3422 3e3c 7072 653e 3c63 6f64 653e  554"><pre><code>
│ │ │ +000d38b0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +000d38c0: 6d65 203d 2022 6c6f 6772 6f74 6174 6522  me = "logrotate"
│ │ │ +000d38d0: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ +000d38e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +000d38f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +000d3900: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +000d3910: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000d3920: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000d3930: 2223 6964 6d31 3035 3535 2220 7461 6269  "#idm10555" tabi
│ │ │ +000d3940: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000d3950: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000d3960: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000d3970: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +000d3980: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +000d3990: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +000d39a0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +000d39b0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000d39c0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000d39d0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000d39e0: 2269 646d 3130 3535 3522 3e3c 7461 626c  "idm10555"><tabl
│ │ │ +000d39f0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +000d3a00: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +000d3a10: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000d3a20: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000d3a30: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000d3a40: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000d3a50: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000d3a60: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +000d3a70: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000d3a80: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +000d3a90: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +000d3aa0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000d3ab0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +000d3ac0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +000d3ad0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000d3ae0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +000d3af0: 6c6c 5f6c 6f67 726f 7461 7465 0a0a 636c  ll_logrotate..cl
│ │ │ +000d3b00: 6173 7320 696e 7374 616c 6c5f 6c6f 6772  ass install_logr
│ │ │ +000d3b10: 6f74 6174 6520 7b0a 2020 7061 636b 6167  otate {.  packag
│ │ │ +000d3b20: 6520 7b20 276c 6f67 726f 7461 7465 273a  e { 'logrotate':
│ │ │ +000d3b30: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +000d3b40: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +000d3b50: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  000d3b60: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  000d3b70: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  000d3b80: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  000d3b90: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  000d3ba0: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  000d3bb0: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  000d3bc0: 756c 655f 656e 7375 7265 5f6c 6f67 726f  ule_ensure_logro
│ │ │ @@ -56038,180 +56038,180 @@
│ │ │  000dae50: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  000dae60: 3130 3036 3322 2074 6162 696e 6465 783d  10063" tabindex=
│ │ │  000dae70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  000dae80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  000dae90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  000daea0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  000daeb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -000daec0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -000daed0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -000daee0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -000daef0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -000daf00: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -000daf10: 6522 2069 643d 2269 646d 3130 3036 3322  e" id="idm10063"
│ │ │ -000daf20: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ -000daf30: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ -000daf40: 2022 7273 7973 6c6f 672d 676e 7574 6c73   "rsyslog-gnutls
│ │ │ -000daf50: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ -000daf60: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -000daf70: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -000daf80: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -000daf90: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -000dafa0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -000dafb0: 3d22 2369 646d 3130 3036 3422 2074 6162  ="#idm10064" tab
│ │ │ -000dafc0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000dafd0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000dafe0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000daff0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000db000: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000db010: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000db020: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -000db030: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000db040: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000db050: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -000db060: 3d22 6964 6d31 3030 3634 223e 3c74 6162  ="idm10064"><tab
│ │ │ -000db070: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000db080: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000db090: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -000db0a0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -000db0b0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -000db0c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000db0d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000db0e0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000db0f0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000db100: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000db110: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000db120: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000db130: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000db140: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -000db150: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000db160: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -000db170: 616c 6c5f 7273 7973 6c6f 672d 676e 7574  all_rsyslog-gnut
│ │ │ -000db180: 6c73 0a0a 636c 6173 7320 696e 7374 616c  ls..class instal
│ │ │ -000db190: 6c5f 7273 7973 6c6f 672d 676e 7574 6c73  l_rsyslog-gnutls
│ │ │ -000db1a0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -000db1b0: 7273 7973 6c6f 672d 676e 7574 6c73 273a  rsyslog-gnutls':
│ │ │ -000db1c0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -000db1d0: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -000db1e0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -000db1f0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -000db200: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -000db210: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -000db220: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -000db230: 6172 6765 743d 2223 6964 6d31 3030 3635  arget="#idm10065
│ │ │ -000db240: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000db250: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000db260: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000db270: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000db280: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000db290: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000db2a0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -000db2b0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000db2c0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000db2d0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000db2e0: 7365 2220 6964 3d22 6964 6d31 3030 3635  se" id="idm10065
│ │ │ -000db2f0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000db300: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000db310: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000db320: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000db330: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000db340: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000db350: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000db360: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000db370: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000db380: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000db390: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000db3a0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000db3b0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000db3c0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -000db3d0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000db3e0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -000db3f0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000db400: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -000db410: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -000db420: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -000db430: 7461 6773 3a0a 2020 2d20 656e 6162 6c65  tags:.  - enable
│ │ │ -000db440: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -000db450: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -000db460: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -000db470: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -000db480: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -000db490: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -000db4a0: 6b61 6765 5f72 7379 736c 6f67 2d67 6e75  kage_rsyslog-gnu
│ │ │ -000db4b0: 746c 735f 696e 7374 616c 6c65 640a 0a2d  tls_installed..-
│ │ │ -000db4c0: 206e 616d 653a 2045 6e73 7572 6520 7273   name: Ensure rs
│ │ │ -000db4d0: 7973 6c6f 672d 676e 7574 6c73 2069 7320  yslog-gnutls is 
│ │ │ -000db4e0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ -000db4f0: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ -000db500: 7379 736c 6f67 2d67 6e75 746c 730a 2020  syslog-gnutls.  
│ │ │ -000db510: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -000db520: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -000db530: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -000db540: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -000db550: 270a 2020 7461 6773 3a0a 2020 2d20 656e  '.  tags:.  - en
│ │ │ -000db560: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -000db570: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -000db580: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -000db590: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -000db5a0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -000db5b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000db5c0: 2070 6163 6b61 6765 5f72 7379 736c 6f67   package_rsyslog
│ │ │ -000db5d0: 2d67 6e75 746c 735f 696e 7374 616c 6c65  -gnutls_installe
│ │ │ -000db5e0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -000db5f0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -000db600: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -000db610: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -000db620: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -000db630: 6574 3d22 2369 646d 3130 3036 3622 2074  et="#idm10066" t
│ │ │ -000db640: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -000db650: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -000db660: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -000db670: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -000db680: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -000db690: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -000db6a0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -000db6b0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000db6c0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000db6d0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -000db6e0: 3d22 6964 6d31 3030 3636 223e 3c74 6162  ="idm10066"><tab
│ │ │ -000db6f0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000db700: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000db710: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -000db720: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -000db730: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -000db740: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000db750: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000db760: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000db770: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000db780: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000db790: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000db7a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000db7b0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000db7c0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -000db7d0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000db7e0: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ -000db7f0: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ -000db800: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ -000db810: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ -000db820: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ -000db830: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ -000db840: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ -000db850: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ -000db860: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ -000db870: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ -000db880: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ -000db890: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -000db8a0: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -000db8b0: 7420 696e 7374 616c 6c20 2d79 2022 7273  t install -y "rs
│ │ │ -000db8c0: 7973 6c6f 672d 676e 7574 6c73 220a 0a65  yslog-gnutls"..e
│ │ │ -000db8d0: 6c73 650a 2020 2020 2667 743b 2661 6d70  lse.    &gt;&amp
│ │ │ -000db8e0: 3b32 2065 6368 6f20 2752 656d 6564 6961  ;2 echo 'Remedia
│ │ │ -000db8f0: 7469 6f6e 2069 7320 6e6f 7420 6170 706c  tion is not appl
│ │ │ -000db900: 6963 6162 6c65 2c20 6e6f 7468 696e 6720  icable, nothing 
│ │ │ -000db910: 7761 7320 646f 6e65 270a 6669 0a3c 2f63  was done'.fi.</c
│ │ │ +000daec0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +000daed0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000daee0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000daef0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +000daf00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +000daf10: 3130 3036 3322 3e3c 7461 626c 6520 636c  10063"><table cl
│ │ │ +000daf20: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +000daf30: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000daf40: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000daf50: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000daf60: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000daf70: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000daf80: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000daf90: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000dafa0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000dafb0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +000dafc0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000dafd0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000dafe0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +000daff0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000db000: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +000db010: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +000db020: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +000db030: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +000db040: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +000db050: 746f 0a20 2074 6167 733a 0a20 202d 2065  to.  tags:.  - e
│ │ │ +000db060: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +000db070: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +000db080: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +000db090: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +000db0a0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +000db0b0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +000db0c0: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ +000db0d0: 672d 676e 7574 6c73 5f69 6e73 7461 6c6c  g-gnutls_install
│ │ │ +000db0e0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +000db0f0: 7265 2072 7379 736c 6f67 2d67 6e75 746c  re rsyslog-gnutl
│ │ │ +000db100: 7320 6973 2069 6e73 7461 6c6c 6564 0a20  s is installed. 
│ │ │ +000db110: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +000db120: 6d65 3a20 7273 7973 6c6f 672d 676e 7574  me: rsyslog-gnut
│ │ │ +000db130: 6c73 0a20 2020 2073 7461 7465 3a20 7072  ls.    state: pr
│ │ │ +000db140: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +000db150: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +000db160: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +000db170: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +000db180: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +000db190: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +000db1a0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +000db1b0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +000db1c0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +000db1d0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +000db1e0: 640a 2020 2d20 7061 636b 6167 655f 7273  d.  - package_rs
│ │ │ +000db1f0: 7973 6c6f 672d 676e 7574 6c73 5f69 6e73  yslog-gnutls_ins
│ │ │ +000db200: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +000db210: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000db220: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000db230: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +000db240: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +000db250: 2d74 6172 6765 743d 2223 6964 6d31 3030  -target="#idm100
│ │ │ +000db260: 3634 2220 7461 6269 6e64 6578 3d22 3022  64" tabindex="0"
│ │ │ +000db270: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000db280: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000db290: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000db2a0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000db2b0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +000db2c0: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +000db2d0: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +000db2e0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000db2f0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000db300: 6522 2069 643d 2269 646d 3130 3036 3422  e" id="idm10064"
│ │ │ +000db310: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000db320: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000db330: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000db340: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +000db350: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000db360: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000db370: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000db380: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +000db390: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000db3a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000db3b0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +000db3c0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +000db3d0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +000db3e0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +000db3f0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000db400: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ +000db410: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ +000db420: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ +000db430: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ +000db440: 6620 6470 6b67 2d71 7565 7279 202d 2d73  f dpkg-query --s
│ │ │ +000db450: 686f 7720 2d2d 7368 6f77 666f 726d 6174  how --showformat
│ │ │ +000db460: 3d27 247b 6462 3a53 7461 7475 732d 5374  ='${db:Status-St
│ │ │ +000db470: 6174 7573 7d0a 2720 276c 696e 7578 2d62  atus}.' 'linux-b
│ │ │ +000db480: 6173 6527 2032 2667 743b 2f64 6576 2f6e  ase' 2&gt;/dev/n
│ │ │ +000db490: 756c 6c20 7c20 6772 6570 202d 7120 5e69  ull | grep -q ^i
│ │ │ +000db4a0: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a  nstalled; then..
│ │ │ +000db4b0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +000db4c0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +000db4d0: 7074 2d67 6574 2069 6e73 7461 6c6c 202d  pt-get install -
│ │ │ +000db4e0: 7920 2272 7379 736c 6f67 2d67 6e75 746c  y "rsyslog-gnutl
│ │ │ +000db4f0: 7322 0a0a 656c 7365 0a20 2020 2026 6774  s"..else.    &gt
│ │ │ +000db500: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ +000db510: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ +000db520: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ +000db530: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ +000db540: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +000db550: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +000db560: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +000db570: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +000db580: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +000db590: 6574 3d22 2369 646d 3130 3036 3522 2074  et="#idm10065" t
│ │ │ +000db5a0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +000db5b0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +000db5c0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +000db5d0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +000db5e0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +000db5f0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +000db600: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +000db610: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +000db620: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000db630: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000db640: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000db650: 646d 3130 3036 3522 3e3c 7072 653e 3c63  dm10065"><pre><c
│ │ │ +000db660: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ +000db670: 5d0a 6e61 6d65 203d 2022 7273 7973 6c6f  ].name = "rsyslo
│ │ │ +000db680: 672d 676e 7574 6c73 220a 7665 7273 696f  g-gnutls".versio
│ │ │ +000db690: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ +000db6a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +000db6b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000db6c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000db6d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000db6e0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ +000db6f0: 3036 3622 2074 6162 696e 6465 783d 2230  066" tabindex="0
│ │ │ +000db700: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +000db710: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +000db720: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +000db730: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +000db740: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000db750: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +000db760: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000db770: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000db780: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000db790: 6170 7365 2220 6964 3d22 6964 6d31 3030  apse" id="idm100
│ │ │ +000db7a0: 3636 223e 3c74 6162 6c65 2063 6c61 7373  66"><table class
│ │ │ +000db7b0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +000db7c0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +000db7d0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000db7e0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000db7f0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000db800: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000db810: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +000db820: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000db830: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000db840: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000db850: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000db860: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +000db870: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +000db880: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000db890: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +000db8a0: 7564 6520 696e 7374 616c 6c5f 7273 7973  ude install_rsys
│ │ │ +000db8b0: 6c6f 672d 676e 7574 6c73 0a0a 636c 6173  log-gnutls..clas
│ │ │ +000db8c0: 7320 696e 7374 616c 6c5f 7273 7973 6c6f  s install_rsyslo
│ │ │ +000db8d0: 672d 676e 7574 6c73 207b 0a20 2070 6163  g-gnutls {.  pac
│ │ │ +000db8e0: 6b61 6765 207b 2027 7273 7973 6c6f 672d  kage { 'rsyslog-
│ │ │ +000db8f0: 676e 7574 6c73 273a 0a20 2020 2065 6e73  gnutls':.    ens
│ │ │ +000db900: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +000db910: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │  000db920: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  000db930: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  000db940: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  000db950: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  000db960: 7461 2d74 742d 6964 3d22 7863 6364 665f  ta-tt-id="xccdf_
│ │ │  000db970: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  000db980: 6f6e 7465 6e74 5f72 756c 655f 7061 636b  ontent_rule_pack
│ │ │ @@ -56419,179 +56419,179 @@
│ │ │  000dc620: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  000dc630: 646d 3130 3131 3422 2074 6162 696e 6465  dm10114" tabinde
│ │ │  000dc640: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  000dc650: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  000dc660: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  000dc670: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  000dc680: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000dc690: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -000dc6a0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -000dc6b0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -000dc6c0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -000dc6d0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000dc6e0: 7073 6522 2069 643d 2269 646d 3130 3131  pse" id="idm1011
│ │ │ -000dc6f0: 3422 3e3c 7072 653e 3c63 6f64 653e 0a5b  4"><pre><code>.[
│ │ │ -000dc700: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ -000dc710: 203d 2022 7273 7973 6c6f 6722 0a76 6572   = "rsyslog".ver
│ │ │ -000dc720: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ -000dc730: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -000dc740: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -000dc750: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -000dc760: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -000dc770: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -000dc780: 6d31 3031 3135 2220 7461 6269 6e64 6578  m10115" tabindex
│ │ │ -000dc790: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -000dc7a0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -000dc7b0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -000dc7c0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -000dc7d0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000dc7e0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -000dc7f0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -000dc800: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -000dc810: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000dc820: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000dc830: 3130 3131 3522 3e3c 7461 626c 6520 636c  10115"><table cl
│ │ │ -000dc840: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000dc850: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000dc860: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000dc870: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -000dc880: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -000dc890: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -000dc8a0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000dc8b0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000dc8c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000dc8d0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000dc8e0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000dc8f0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000dc900: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -000dc910: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -000dc920: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -000dc930: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f72  nclude install_r
│ │ │ -000dc940: 7379 736c 6f67 0a0a 636c 6173 7320 696e  syslog..class in
│ │ │ -000dc950: 7374 616c 6c5f 7273 7973 6c6f 6720 7b0a  stall_rsyslog {.
│ │ │ -000dc960: 2020 7061 636b 6167 6520 7b20 2772 7379    package { 'rsy
│ │ │ -000dc970: 736c 6f67 273a 0a20 2020 2065 6e73 7572  slog':.    ensur
│ │ │ -000dc980: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ -000dc990: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -000dc9a0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -000dc9b0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -000dc9c0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -000dc9d0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -000dc9e0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -000dc9f0: 6d31 3031 3136 2220 7461 6269 6e64 6578  m10116" tabindex
│ │ │ -000dca00: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -000dca10: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -000dca20: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -000dca30: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -000dca40: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000dca50: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000dca60: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000dca70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000dca80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000dca90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000dcaa0: 6d31 3031 3136 223e 3c74 6162 6c65 2063  m10116"><table c
│ │ │ -000dcab0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -000dcac0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -000dcad0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -000dcae0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -000dcaf0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -000dcb00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000dcb10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -000dcb20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -000dcb30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000dcb40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000dcb50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000dcb60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000dcb70: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000dcb80: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000dcb90: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000dcba0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -000dcbb0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -000dcbc0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -000dcbd0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -000dcbe0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -000dcbf0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000dcc00: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -000dcc10: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -000dcc20: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -000dcc30: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -000dcc40: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -000dcc50: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -000dcc60: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000dcc70: 6765 5f72 7379 736c 6f67 5f69 6e73 7461  ge_rsyslog_insta
│ │ │ -000dcc80: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -000dcc90: 7375 7265 2072 7379 736c 6f67 2069 7320  sure rsyslog is 
│ │ │ -000dcca0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ -000dccb0: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ -000dccc0: 7379 736c 6f67 0a20 2020 2073 7461 7465  syslog.    state
│ │ │ -000dccd0: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -000dcce0: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -000dccf0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -000dcd00: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -000dcd10: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -000dcd20: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -000dcd30: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -000dcd40: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -000dcd50: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -000dcd60: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -000dcd70: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000dcd80: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000dcd90: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ -000dcda0: 675f 696e 7374 616c 6c65 640a 3c2f 636f  g_installed.</co
│ │ │ -000dcdb0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000dcdc0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000dcdd0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000dcde0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000dcdf0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000dce00: 646d 3130 3131 3722 2074 6162 696e 6465  dm10117" tabinde
│ │ │ -000dce10: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -000dce20: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -000dce30: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -000dce40: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -000dce50: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000dce60: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -000dce70: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -000dce80: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -000dce90: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -000dcea0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -000dceb0: 3031 3137 223e 3c74 6162 6c65 2063 6c61  0117"><table cla
│ │ │ -000dcec0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000dced0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000dcee0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000dcef0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000dcf00: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000dcf10: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000dcf20: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -000dcf30: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -000dcf40: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000dcf50: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -000dcf60: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -000dcf70: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -000dcf80: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -000dcf90: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000dcfa0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ -000dcfb0: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ -000dcfc0: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ -000dcfd0: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ -000dcfe0: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ -000dcff0: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ -000dd000: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ -000dd010: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ -000dd020: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ -000dd030: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ -000dd040: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ -000dd050: 6865 6e0a 0a44 4542 4941 4e5f 4652 4f4e  hen..DEBIAN_FRON
│ │ │ -000dd060: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -000dd070: 6976 6520 6170 742d 6765 7420 696e 7374  ive apt-get inst
│ │ │ -000dd080: 616c 6c20 2d79 2022 7273 7973 6c6f 6722  all -y "rsyslog"
│ │ │ -000dd090: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ -000dd0a0: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ -000dd0b0: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ -000dd0c0: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ -000dd0d0: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +000dc690: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +000dc6a0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +000dc6b0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000dc6c0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000dc6d0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000dc6e0: 646d 3130 3131 3422 3e3c 7461 626c 6520  dm10114"><table 
│ │ │ +000dc6f0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +000dc700: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +000dc710: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000dc720: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000dc730: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +000dc740: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000dc750: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000dc760: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000dc770: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000dc780: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000dc790: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000dc7a0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +000dc7b0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +000dc7c0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +000dc7d0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +000dc7e0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +000dc7f0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +000dc800: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +000dc810: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +000dc820: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +000dc830: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +000dc840: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ +000dc850: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +000dc860: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +000dc870: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +000dc880: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +000dc890: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +000dc8a0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +000dc8b0: 6167 655f 7273 7973 6c6f 675f 696e 7374  age_rsyslog_inst
│ │ │ +000dc8c0: 616c 6c65 640a 0a2d 206e 616d 653a 2045  alled..- name: E
│ │ │ +000dc8d0: 6e73 7572 6520 7273 7973 6c6f 6720 6973  nsure rsyslog is
│ │ │ +000dc8e0: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ +000dc8f0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +000dc900: 7273 7973 6c6f 670a 2020 2020 7374 6174  rsyslog.    stat
│ │ │ +000dc910: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ +000dc920: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ +000dc930: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +000dc940: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +000dc950: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +000dc960: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +000dc970: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +000dc980: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +000dc990: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +000dc9a0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +000dc9b0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +000dc9c0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000dc9d0: 202d 2070 6163 6b61 6765 5f72 7379 736c   - package_rsysl
│ │ │ +000dc9e0: 6f67 5f69 6e73 7461 6c6c 6564 0a3c 2f63  og_installed.</c
│ │ │ +000dc9f0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000dca00: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000dca10: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000dca20: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000dca30: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +000dca40: 6964 6d31 3031 3135 2220 7461 6269 6e64  idm10115" tabind
│ │ │ +000dca50: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +000dca60: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +000dca70: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +000dca80: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +000dca90: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000dcaa0: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +000dcab0: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +000dcac0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000dcad0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +000dcae0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +000dcaf0: 3130 3131 3522 3e3c 7461 626c 6520 636c  10115"><table cl
│ │ │ +000dcb00: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +000dcb10: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000dcb20: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000dcb30: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000dcb40: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000dcb50: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000dcb60: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000dcb70: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000dcb80: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000dcb90: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +000dcba0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000dcbb0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000dcbc0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +000dcbd0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000dcbe0: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ +000dcbf0: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ +000dcc00: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ +000dcc10: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ +000dcc20: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565  orms.if dpkg-que
│ │ │ +000dcc30: 7279 202d 2d73 686f 7720 2d2d 7368 6f77  ry --show --show
│ │ │ +000dcc40: 666f 726d 6174 3d27 247b 6462 3a53 7461  format='${db:Sta
│ │ │ +000dcc50: 7475 732d 5374 6174 7573 7d0a 2720 276c  tus-Status}.' 'l
│ │ │ +000dcc60: 696e 7578 2d62 6173 6527 2032 2667 743b  inux-base' 2&gt;
│ │ │ +000dcc70: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570  /dev/null | grep
│ │ │ +000dcc80: 202d 7120 5e69 6e73 7461 6c6c 6564 3b20   -q ^installed; 
│ │ │ +000dcc90: 7468 656e 0a0a 4445 4249 414e 5f46 524f  then..DEBIAN_FRO
│ │ │ +000dcca0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +000dccb0: 7469 7665 2061 7074 2d67 6574 2069 6e73  tive apt-get ins
│ │ │ +000dccc0: 7461 6c6c 202d 7920 2272 7379 736c 6f67  tall -y "rsyslog
│ │ │ +000dccd0: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ +000dcce0: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ +000dccf0: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ +000dcd00: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ +000dcd10: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +000dcd20: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +000dcd30: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +000dcd40: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +000dcd50: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +000dcd60: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +000dcd70: 743d 2223 6964 6d31 3031 3136 2220 7461  t="#idm10116" ta
│ │ │ +000dcd80: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +000dcd90: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +000dcda0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +000dcdb0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +000dcdc0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +000dcdd0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +000dcde0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +000dcdf0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +000dce00: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000dce10: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000dce20: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000dce30: 6d31 3031 3136 223e 3c70 7265 3e3c 636f  m10116"><pre><co
│ │ │ +000dce40: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ +000dce50: 0a6e 616d 6520 3d20 2272 7379 736c 6f67  .name = "rsyslog
│ │ │ +000dce60: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ +000dce70: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000dce80: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000dce90: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000dcea0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +000dceb0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000dcec0: 3d22 2369 646d 3130 3131 3722 2074 6162  ="#idm10117" tab
│ │ │ +000dced0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +000dcee0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +000dcef0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000dcf00: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000dcf10: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000dcf20: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +000dcf30: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +000dcf40: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000dcf50: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000dcf60: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +000dcf70: 3d22 6964 6d31 3031 3137 223e 3c74 6162  ="idm10117"><tab
│ │ │ +000dcf80: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +000dcf90: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +000dcfa0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +000dcfb0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +000dcfc0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +000dcfd0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000dcfe0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000dcff0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000dd000: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000dd010: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000dd020: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000dd030: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +000dd040: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +000dd050: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +000dd060: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +000dd070: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ +000dd080: 616c 6c5f 7273 7973 6c6f 670a 0a63 6c61  all_rsyslog..cla
│ │ │ +000dd090: 7373 2069 6e73 7461 6c6c 5f72 7379 736c  ss install_rsysl
│ │ │ +000dd0a0: 6f67 207b 0a20 2070 6163 6b61 6765 207b  og {.  package {
│ │ │ +000dd0b0: 2027 7273 7973 6c6f 6727 3a0a 2020 2020   'rsyslog':.    
│ │ │ +000dd0c0: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ +000dd0d0: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │  000dd0e0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  000dd0f0: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  000dd100: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  000dd110: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  000dd120: 2064 6174 612d 7474 2d69 643d 2278 6363   data-tt-id="xcc
│ │ │  000dd130: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  000dd140: 742e 636f 6e74 656e 745f 7275 6c65 5f73  t.content_rule_s
│ │ │ @@ -56820,150 +56820,150 @@
│ │ │  000ddf30: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  000ddf40: 3d22 2369 646d 3130 3230 3022 2074 6162  ="#idm10200" tab
│ │ │  000ddf50: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  000ddf60: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  000ddf70: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  000ddf80: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  000ddf90: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000ddfa0: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -000ddfb0: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -000ddfc0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -000ddfd0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -000ddfe0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000ddff0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000de000: 3130 3230 3022 3e3c 7072 653e 3c63 6f64  10200"><pre><cod
│ │ │ -000de010: 653e 0a5b 6375 7374 6f6d 697a 6174 696f  e>.[customizatio
│ │ │ -000de020: 6e73 2e73 6572 7669 6365 735d 0a65 6e61  ns.services].ena
│ │ │ -000de030: 626c 6564 203d 205b 2272 7379 736c 6f67  bled = ["rsyslog
│ │ │ -000de040: 225d 0a3c 2f63 6f64 653e 3c2f 7072 653e  "].</code></pre>
│ │ │ -000de050: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -000de060: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -000de070: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -000de080: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -000de090: 6765 743d 2223 6964 6d31 3032 3031 2220  get="#idm10201" 
│ │ │ -000de0a0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -000de0b0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -000de0c0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -000de0d0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -000de0e0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -000de0f0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000de100: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -000de110: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000de120: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000de130: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000de140: 2069 643d 2269 646d 3130 3230 3122 3e3c   id="idm10201"><
│ │ │ -000de150: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -000de160: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000de170: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -000de180: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -000de190: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -000de1a0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -000de1b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000de1c0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -000de1d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000de1e0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000de1f0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000de200: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000de210: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000de220: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000de230: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000de240: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ -000de250: 6e61 626c 655f 7273 7973 6c6f 670a 0a63  nable_rsyslog..c
│ │ │ -000de260: 6c61 7373 2065 6e61 626c 655f 7273 7973  lass enable_rsys
│ │ │ -000de270: 6c6f 6720 7b0a 2020 7365 7276 6963 6520  log {.  service 
│ │ │ -000de280: 7b27 7273 7973 6c6f 6727 3a0a 2020 2020  {'rsyslog':.    
│ │ │ -000de290: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ -000de2a0: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ -000de2b0: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ -000de2c0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -000de2d0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -000de2e0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -000de2f0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -000de300: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -000de310: 6172 6765 743d 2223 6964 6d31 3032 3032  arget="#idm10202
│ │ │ -000de320: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000de330: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000de340: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000de350: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000de360: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000de370: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000de380: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -000de390: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000de3a0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000de3b0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000de3c0: 7365 2220 6964 3d22 6964 6d31 3032 3032  se" id="idm10202
│ │ │ -000de3d0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000de3e0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000de3f0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000de400: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000de410: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000de420: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000de430: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000de440: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000de450: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000de460: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000de470: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000de480: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000de490: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000de4a0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -000de4b0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000de4c0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -000de4d0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000de4e0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -000de4f0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -000de500: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -000de510: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -000de520: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ -000de530: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -000de540: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -000de550: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -000de560: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -000de570: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -000de580: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -000de590: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -000de5a0: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ -000de5b0: 7669 6365 5f72 7379 736c 6f67 5f65 6e61  vice_rsyslog_ena
│ │ │ -000de5c0: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ -000de5d0: 6162 6c65 2072 7379 736c 6f67 2053 6572  able rsyslog Ser
│ │ │ -000de5e0: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -000de5f0: 7276 6963 6520 7273 7973 6c6f 670a 2020  rvice rsyslog.  
│ │ │ -000de600: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ -000de610: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000de620: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ -000de630: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -000de640: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -000de650: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ -000de660: 626c 6520 7273 7973 6c6f 6720 5365 7276  ble rsyslog Serv
│ │ │ -000de670: 6963 6520 2d20 456e 6162 6c65 2053 6572  ice - Enable Ser
│ │ │ -000de680: 7669 6365 2072 7379 736c 6f67 0a20 2020  vice rsyslog.   
│ │ │ -000de690: 2061 6e73 6962 6c65 2e62 7569 6c74 696e   ansible.builtin
│ │ │ -000de6a0: 2e73 7973 7465 6d64 3a0a 2020 2020 2020  .systemd:.      
│ │ │ -000de6b0: 6e61 6d65 3a20 7273 7973 6c6f 670a 2020  name: rsyslog.  
│ │ │ -000de6c0: 2020 2020 656e 6162 6c65 643a 2074 7275      enabled: tru
│ │ │ -000de6d0: 650a 2020 2020 2020 7374 6174 653a 2073  e.      state: s
│ │ │ -000de6e0: 7461 7274 6564 0a20 2020 2020 206d 6173  tarted.      mas
│ │ │ -000de6f0: 6b65 643a 2066 616c 7365 0a20 2020 2077  ked: false.    w
│ │ │ -000de700: 6865 6e3a 0a20 2020 202d 2027 2272 7379  hen:.    - '"rsy
│ │ │ -000de710: 736c 6f67 2220 696e 2061 6e73 6962 6c65  slog" in ansible
│ │ │ -000de720: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -000de730: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -000de740: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -000de750: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -000de760: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -000de770: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ -000de780: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -000de790: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -000de7a0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -000de7b0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -000de7c0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -000de7d0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -000de7e0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -000de7f0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000de800: 2073 6572 7669 6365 5f72 7379 736c 6f67   service_rsyslog
│ │ │ -000de810: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +000ddfa0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +000ddfb0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +000ddfc0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000ddfd0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +000ddfe0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +000ddff0: 643d 2269 646d 3130 3230 3022 3e3c 7461  d="idm10200"><ta
│ │ │ +000de000: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +000de010: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +000de020: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +000de030: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +000de040: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +000de050: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +000de060: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000de070: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000de080: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000de090: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000de0a0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000de0b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000de0c0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000de0d0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +000de0e0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +000de0f0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +000de100: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +000de110: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +000de120: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +000de130: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +000de140: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +000de150: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ +000de160: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +000de170: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +000de180: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +000de190: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +000de1a0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +000de1b0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +000de1c0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +000de1d0: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ +000de1e0: 7273 7973 6c6f 675f 656e 6162 6c65 640a  rsyslog_enabled.
│ │ │ +000de1f0: 0a2d 206e 616d 653a 2045 6e61 626c 6520  .- name: Enable 
│ │ │ +000de200: 7273 7973 6c6f 6720 5365 7276 6963 6520  rsyslog Service 
│ │ │ +000de210: 2d20 456e 6162 6c65 2073 6572 7669 6365  - Enable service
│ │ │ +000de220: 2072 7379 736c 6f67 0a20 2062 6c6f 636b   rsyslog.  block
│ │ │ +000de230: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +000de240: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +000de250: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +000de260: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +000de270: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +000de280: 2d20 6e61 6d65 3a20 456e 6162 6c65 2072  - name: Enable r
│ │ │ +000de290: 7379 736c 6f67 2053 6572 7669 6365 202d  syslog Service -
│ │ │ +000de2a0: 2045 6e61 626c 6520 5365 7276 6963 6520   Enable Service 
│ │ │ +000de2b0: 7273 7973 6c6f 670a 2020 2020 616e 7369  rsyslog.    ansi
│ │ │ +000de2c0: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ +000de2d0: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ +000de2e0: 2072 7379 736c 6f67 0a20 2020 2020 2065   rsyslog.      e
│ │ │ +000de2f0: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +000de300: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +000de310: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +000de320: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +000de330: 2020 2020 2d20 2722 7273 7973 6c6f 6722      - '"rsyslog"
│ │ │ +000de340: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +000de350: 732e 7061 636b 6167 6573 270a 2020 7768  s.packages'.  wh
│ │ │ +000de360: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +000de370: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +000de380: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +000de390: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +000de3a0: 302d 3533 2d41 552d 3428 3129 0a20 202d  0-53-AU-4(1).  -
│ │ │ +000de3b0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +000de3c0: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ +000de3d0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +000de3e0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +000de3f0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +000de400: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +000de410: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +000de420: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ +000de430: 6963 655f 7273 7973 6c6f 675f 656e 6162  ice_rsyslog_enab
│ │ │ +000de440: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +000de450: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000de460: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000de470: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000de480: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000de490: 7267 6574 3d22 2369 646d 3130 3230 3122  rget="#idm10201"
│ │ │ +000de4a0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +000de4b0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +000de4c0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +000de4d0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +000de4e0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +000de4f0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +000de500: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +000de510: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +000de520: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000de530: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000de540: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000de550: 2269 646d 3130 3230 3122 3e3c 7072 653e  "idm10201"><pre>
│ │ │ +000de560: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ +000de570: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ +000de580: 0a65 6e61 626c 6564 203d 205b 2272 7379  .enabled = ["rsy
│ │ │ +000de590: 736c 6f67 225d 0a3c 2f63 6f64 653e 3c2f  slog"].</code></
│ │ │ +000de5a0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000de5b0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000de5c0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +000de5d0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +000de5e0: 2d74 6172 6765 743d 2223 6964 6d31 3032  -target="#idm102
│ │ │ +000de5f0: 3032 2220 7461 6269 6e64 6578 3d22 3022  02" tabindex="0"
│ │ │ +000de600: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000de610: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000de620: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000de630: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000de640: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +000de650: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +000de660: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +000de670: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000de680: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000de690: 7073 6522 2069 643d 2269 646d 3130 3230  pse" id="idm1020
│ │ │ +000de6a0: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ +000de6b0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000de6c0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +000de6d0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +000de6e0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +000de6f0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +000de700: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000de710: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +000de720: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000de730: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +000de740: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +000de750: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +000de760: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +000de770: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +000de780: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +000de790: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +000de7a0: 6465 2065 6e61 626c 655f 7273 7973 6c6f  de enable_rsyslo
│ │ │ +000de7b0: 670a 0a63 6c61 7373 2065 6e61 626c 655f  g..class enable_
│ │ │ +000de7c0: 7273 7973 6c6f 6720 7b0a 2020 7365 7276  rsyslog {.  serv
│ │ │ +000de7d0: 6963 6520 7b27 7273 7973 6c6f 6727 3a0a  ice {'rsyslog':.
│ │ │ +000de7e0: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ +000de7f0: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ +000de800: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ +000de810: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  000de820: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  000de830: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  000de840: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  000de850: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  000de860: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  000de870: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  000de880: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -118465,142 +118465,142 @@
│ │ │  001cec00: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  001cec10: 6d32 3030 3435 2220 7461 6269 6e64 6578  m20045" tabindex
│ │ │  001cec20: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  001cec30: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  001cec40: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  001cec50: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  001cec60: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001cec70: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -001cec80: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -001cec90: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001ceca0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001cecb0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001cecc0: 3230 3034 3522 3e3c 7461 626c 6520 636c  20045"><table cl
│ │ │ -001cecd0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -001cece0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -001cecf0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -001ced00: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -001ced10: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -001ced20: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001ced30: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -001ced40: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -001ced50: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001ced60: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -001ced70: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -001ced80: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -001ced90: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -001ceda0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001cedb0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001cedc0: 696e 636c 7564 6520 7265 6d6f 7665 5f64  include remove_d
│ │ │ -001cedd0: 6863 700a 0a63 6c61 7373 2072 656d 6f76  hcp..class remov
│ │ │ -001cede0: 655f 6468 6370 207b 0a20 2070 6163 6b61  e_dhcp {.  packa
│ │ │ -001cedf0: 6765 207b 2027 6468 6370 273a 0a20 2020  ge { 'dhcp':.   
│ │ │ -001cee00: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -001cee10: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -001cee20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -001cee30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -001cee40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -001cee50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -001cee60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -001cee70: 2369 646d 3230 3034 3622 2074 6162 696e  #idm20046" tabin
│ │ │ -001cee80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -001cee90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -001ceea0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -001ceeb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -001ceec0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001ceed0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -001ceee0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -001ceef0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001cef00: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001cef10: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001cef20: 2269 646d 3230 3034 3622 3e3c 7461 626c  "idm20046"><tabl
│ │ │ -001cef30: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001cef40: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001cef50: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001cef60: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001cef70: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001cef80: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001cef90: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001cefa0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001cefb0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001cefc0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001cefd0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001cefe0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001ceff0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001cf000: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001cf010: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001cf020: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -001cf030: 7265 2064 6863 7020 6973 2072 656d 6f76  re dhcp is remov
│ │ │ -001cf040: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -001cf050: 2020 6e61 6d65 3a20 6468 6370 0a20 2020    name: dhcp.   
│ │ │ -001cf060: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -001cf070: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -001cf080: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -001cf090: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -001cf0a0: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ -001cf0b0: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ -001cf0c0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001cf0d0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001cf0e0: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -001cf0f0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001cf100: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001cf110: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001cf120: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -001cf130: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001cf140: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -001cf150: 6b61 6765 5f64 6863 705f 7265 6d6f 7665  kage_dhcp_remove
│ │ │ -001cf160: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -001cf170: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -001cf180: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001cf190: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001cf1a0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001cf1b0: 6574 3d22 2369 646d 3230 3034 3722 2074  et="#idm20047" t
│ │ │ -001cf1c0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001cf1d0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001cf1e0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -001cf1f0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -001cf200: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -001cf210: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001cf220: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -001cf230: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001cf240: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001cf250: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001cf260: 3d22 6964 6d32 3030 3437 223e 3c74 6162  ="idm20047"><tab
│ │ │ -001cf270: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001cf280: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001cf290: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001cf2a0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001cf2b0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001cf2c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001cf2d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001cf2e0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001cf2f0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001cf300: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001cf310: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001cf320: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001cf330: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001cf340: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001cf350: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001cf360: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ -001cf370: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ -001cf380: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ -001cf390: 6d6f 7665 2064 6863 700a 2309 2020 2066  move dhcp.#.   f
│ │ │ -001cf3a0: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ -001cf3b0: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ -001cf3c0: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ -001cf3d0: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ -001cf3e0: 6468 6370 2e20 4578 6563 7574 6520 7468  dhcp. Execute th
│ │ │ -001cf3f0: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ -001cf400: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ -001cf410: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ -001cf420: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ -001cf430: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ -001cf440: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -001cf450: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ -001cf460: 6520 2d79 2022 6468 6370 220a 3c2f 636f  e -y "dhcp".</co
│ │ │ +001cec70: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +001cec80: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +001cec90: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001ceca0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001cecb0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001cecc0: 6d32 3030 3435 223e 3c74 6162 6c65 2063  m20045"><table c
│ │ │ +001cecd0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +001cece0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +001cecf0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +001ced00: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +001ced10: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +001ced20: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001ced30: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +001ced40: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +001ced50: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001ced60: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +001ced70: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +001ced80: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +001ced90: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +001ceda0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001cedb0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001cedc0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +001cedd0: 6468 6370 2069 7320 7265 6d6f 7665 640a  dhcp is removed.
│ │ │ +001cede0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +001cedf0: 616d 653a 2064 6863 700a 2020 2020 7374  ame: dhcp.    st
│ │ │ +001cee00: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +001cee10: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +001cee20: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +001cee30: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +001cee40: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +001cee50: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +001cee60: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001cee70: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001cee80: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ +001cee90: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +001ceea0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +001ceeb0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +001ceec0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +001ceed0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001ceee0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001ceef0: 655f 6468 6370 5f72 656d 6f76 6564 0a3c  e_dhcp_removed.<
│ │ │ +001cef00: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001cef10: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001cef20: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001cef30: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001cef40: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001cef50: 2223 6964 6d32 3030 3436 2220 7461 6269  "#idm20046" tabi
│ │ │ +001cef60: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001cef70: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001cef80: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001cef90: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001cefa0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001cefb0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +001cefc0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +001cefd0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001cefe0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001ceff0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001cf000: 646d 3230 3034 3622 3e3c 7461 626c 6520  dm20046"><table 
│ │ │ +001cf010: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001cf020: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001cf030: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001cf040: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001cf050: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001cf060: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001cf070: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001cf080: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001cf090: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001cf0a0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001cf0b0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001cf0c0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001cf0d0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001cf0e0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001cf0f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001cf100: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ +001cf110: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ +001cf120: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ +001cf130: 6520 6468 6370 0a23 0920 2020 6672 6f6d  e dhcp.#.   from
│ │ │ +001cf140: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +001cf150: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +001cf160: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +001cf170: 6174 2064 6570 656e 6420 6f6e 2064 6863  at depend on dhc
│ │ │ +001cf180: 702e 2045 7865 6375 7465 2074 6869 730a  p. Execute this.
│ │ │ +001cf190: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +001cf1a0: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +001cf1b0: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +001cf1c0: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +001cf1d0: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +001cf1e0: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +001cf1f0: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +001cf200: 7920 2264 6863 7022 0a3c 2f63 6f64 653e  y "dhcp".</code>
│ │ │ +001cf210: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001cf220: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001cf230: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001cf240: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001cf250: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001cf260: 3030 3437 2220 7461 6269 6e64 6578 3d22  0047" tabindex="
│ │ │ +001cf270: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001cf280: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001cf290: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001cf2a0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001cf2b0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001cf2c0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +001cf2d0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001cf2e0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001cf2f0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001cf300: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +001cf310: 3034 3722 3e3c 7461 626c 6520 636c 6173  047"><table clas
│ │ │ +001cf320: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001cf330: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001cf340: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001cf350: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001cf360: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001cf370: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001cf380: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001cf390: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001cf3a0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001cf3b0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001cf3c0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001cf3d0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001cf3e0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001cf3f0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001cf400: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +001cf410: 636c 7564 6520 7265 6d6f 7665 5f64 6863  clude remove_dhc
│ │ │ +001cf420: 700a 0a63 6c61 7373 2072 656d 6f76 655f  p..class remove_
│ │ │ +001cf430: 6468 6370 207b 0a20 2070 6163 6b61 6765  dhcp {.  package
│ │ │ +001cf440: 207b 2027 6468 6370 273a 0a20 2020 2065   { 'dhcp':.    e
│ │ │ +001cf450: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +001cf460: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  001cf470: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  001cf480: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  001cf490: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  001cf4a0: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  001cf4b0: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  001cf4c0: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  001cf4d0: 6e74 656e 745f 7275 6c65 5f70 6163 6b61  ntent_rule_packa
│ │ │ @@ -118718,135 +118718,135 @@
│ │ │  001cfbd0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  001cfbe0: 3230 3035 3722 2074 6162 696e 6465 783d  20057" tabindex=
│ │ │  001cfbf0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  001cfc00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  001cfc10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  001cfc20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  001cfc30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001cfc40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -001cfc50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001cfc60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001cfc70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001cfc80: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001cfc90: 3030 3537 223e 3c74 6162 6c65 2063 6c61  0057"><table cla
│ │ │ -001cfca0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001cfcb0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001cfcc0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001cfcd0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001cfce0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001cfcf0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001cfd00: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001cfd10: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001cfd20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001cfd30: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001cfd40: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001cfd50: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001cfd60: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -001cfd70: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -001cfd80: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -001cfd90: 6e63 6c75 6465 2072 656d 6f76 655f 6b65  nclude remove_ke
│ │ │ -001cfda0: 610a 0a63 6c61 7373 2072 656d 6f76 655f  a..class remove_
│ │ │ -001cfdb0: 6b65 6120 7b0a 2020 7061 636b 6167 6520  kea {.  package 
│ │ │ -001cfdc0: 7b20 276b 6561 273a 0a20 2020 2065 6e73  { 'kea':.    ens
│ │ │ -001cfdd0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -001cfde0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -001cfdf0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -001cfe00: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -001cfe10: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -001cfe20: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -001cfe30: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -001cfe40: 3230 3035 3822 2074 6162 696e 6465 783d  20058" tabindex=
│ │ │ -001cfe50: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -001cfe60: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -001cfe70: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -001cfe80: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -001cfe90: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001cfea0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -001cfeb0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -001cfec0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001cfed0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001cfee0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001cfef0: 3230 3035 3822 3e3c 7461 626c 6520 636c  20058"><table cl
│ │ │ -001cff00: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -001cff10: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -001cff20: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -001cff30: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -001cff40: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -001cff50: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001cff60: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -001cff70: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -001cff80: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001cff90: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -001cffa0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -001cffb0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -001cffc0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -001cffd0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001cffe0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001cfff0: 2d20 6e61 6d65 3a20 456e 7375 7265 206b  - name: Ensure k
│ │ │ -001d0000: 6561 2069 7320 7265 6d6f 7665 640a 2020  ea is removed.  
│ │ │ -001d0010: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -001d0020: 653a 206b 6561 0a20 2020 2073 7461 7465  e: kea.    state
│ │ │ -001d0030: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ -001d0040: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -001d0050: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -001d0060: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -001d0070: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -001d0080: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -001d0090: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -001d00a0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -001d00b0: 5f6b 6561 5f72 656d 6f76 6564 0a3c 2f63  _kea_removed.</c
│ │ │ -001d00c0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -001d00d0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -001d00e0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -001d00f0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -001d0100: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -001d0110: 6964 6d32 3030 3539 2220 7461 6269 6e64  idm20059" tabind
│ │ │ -001d0120: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -001d0130: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -001d0140: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -001d0150: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -001d0160: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001d0170: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -001d0180: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -001d0190: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001d01a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001d01b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001d01c0: 3230 3035 3922 3e3c 7461 626c 6520 636c  20059"><table cl
│ │ │ -001d01d0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -001d01e0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -001d01f0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -001d0200: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -001d0210: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -001d0220: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001d0230: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -001d0240: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -001d0250: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001d0260: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -001d0270: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -001d0280: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -001d0290: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -001d02a0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001d02b0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001d02c0: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -001d02d0: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -001d02e0: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -001d02f0: 6b65 610a 2309 2020 2066 726f 6d20 7468  kea.#.   from th
│ │ │ -001d0300: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ -001d0310: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ -001d0320: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ -001d0330: 6465 7065 6e64 206f 6e20 6b65 612e 2045  depend on kea. E
│ │ │ -001d0340: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -001d0350: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -001d0360: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -001d0370: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -001d0380: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -001d0390: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -001d03a0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -001d03b0: 6765 7420 7265 6d6f 7665 202d 7920 226b  get remove -y "k
│ │ │ -001d03c0: 6561 220a 3c2f 636f 6465 3e3c 2f70 7265  ea".</code></pre
│ │ │ +001cfc40: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +001cfc50: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001cfc60: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001cfc70: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001cfc80: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001cfc90: 3230 3035 3722 3e3c 7461 626c 6520 636c  20057"><table cl
│ │ │ +001cfca0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001cfcb0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001cfcc0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001cfcd0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001cfce0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001cfcf0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001cfd00: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001cfd10: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001cfd20: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001cfd30: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001cfd40: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001cfd50: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001cfd60: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +001cfd70: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001cfd80: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001cfd90: 2d20 6e61 6d65 3a20 456e 7375 7265 206b  - name: Ensure k
│ │ │ +001cfda0: 6561 2069 7320 7265 6d6f 7665 640a 2020  ea is removed.  
│ │ │ +001cfdb0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001cfdc0: 653a 206b 6561 0a20 2020 2073 7461 7465  e: kea.    state
│ │ │ +001cfdd0: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ +001cfde0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +001cfdf0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +001cfe00: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +001cfe10: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +001cfe20: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +001cfe30: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001cfe40: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +001cfe50: 5f6b 6561 5f72 656d 6f76 6564 0a3c 2f63  _kea_removed.</c
│ │ │ +001cfe60: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +001cfe70: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +001cfe80: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +001cfe90: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +001cfea0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +001cfeb0: 6964 6d32 3030 3538 2220 7461 6269 6e64  idm20058" tabind
│ │ │ +001cfec0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +001cfed0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +001cfee0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +001cfef0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +001cff00: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +001cff10: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +001cff20: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +001cff30: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001cff40: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001cff50: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001cff60: 3230 3035 3822 3e3c 7461 626c 6520 636c  20058"><table cl
│ │ │ +001cff70: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001cff80: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001cff90: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001cffa0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001cffb0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001cffc0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001cffd0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001cffe0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001cfff0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001d0000: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001d0010: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001d0020: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001d0030: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +001d0040: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001d0050: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001d0060: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ +001d0070: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ +001d0080: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ +001d0090: 6b65 610a 2309 2020 2066 726f 6d20 7468  kea.#.   from th
│ │ │ +001d00a0: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ +001d00b0: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ +001d00c0: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ +001d00d0: 6465 7065 6e64 206f 6e20 6b65 612e 2045  depend on kea. E
│ │ │ +001d00e0: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ +001d00f0: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ +001d0100: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ +001d0110: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ +001d0120: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ +001d0130: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +001d0140: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +001d0150: 6765 7420 7265 6d6f 7665 202d 7920 226b  get remove -y "k
│ │ │ +001d0160: 6561 220a 3c2f 636f 6465 3e3c 2f70 7265  ea".</code></pre
│ │ │ +001d0170: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +001d0180: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +001d0190: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +001d01a0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +001d01b0: 7267 6574 3d22 2369 646d 3230 3035 3922  rget="#idm20059"
│ │ │ +001d01c0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +001d01d0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +001d01e0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +001d01f0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +001d0200: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +001d0210: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +001d0220: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +001d0230: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001d0240: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001d0250: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001d0260: 2220 6964 3d22 6964 6d32 3030 3539 223e  " id="idm20059">
│ │ │ +001d0270: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001d0280: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001d0290: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001d02a0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001d02b0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001d02c0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001d02d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001d02e0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001d02f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001d0300: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001d0310: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001d0320: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001d0330: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001d0340: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +001d0350: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +001d0360: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +001d0370: 2072 656d 6f76 655f 6b65 610a 0a63 6c61   remove_kea..cla
│ │ │ +001d0380: 7373 2072 656d 6f76 655f 6b65 6120 7b0a  ss remove_kea {.
│ │ │ +001d0390: 2020 7061 636b 6167 6520 7b20 276b 6561    package { 'kea
│ │ │ +001d03a0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +001d03b0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +001d03c0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  001d03d0: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  001d03e0: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  001d03f0: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  001d0400: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  001d0410: 2263 6869 6c64 7265 6e2d 7863 6364 665f  "children-xccdf_
│ │ │  001d0420: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  001d0430: 6f6e 7465 6e74 5f67 726f 7570 5f6d 6169  ontent_group_mai
│ │ │ @@ -119935,178 +119935,178 @@
│ │ │  001d47e0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  001d47f0: 2223 6964 6d32 3032 3136 2220 7461 6269  "#idm20216" tabi
│ │ │  001d4800: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  001d4810: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  001d4820: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  001d4830: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  001d4840: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -001d4850: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -001d4860: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -001d4870: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001d4880: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001d4890: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001d48a0: 2269 646d 3230 3231 3622 3e3c 7461 626c  "idm20216"><tabl
│ │ │ -001d48b0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001d48c0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001d48d0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001d48e0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001d48f0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001d4900: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001d4910: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001d4920: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001d4930: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001d4940: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001d4950: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001d4960: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001d4970: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001d4980: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001d4990: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001d49a0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ -001d49b0: 7665 5f73 656e 646d 6169 6c0a 0a63 6c61  ve_sendmail..cla
│ │ │ -001d49c0: 7373 2072 656d 6f76 655f 7365 6e64 6d61  ss remove_sendma
│ │ │ -001d49d0: 696c 207b 0a20 2070 6163 6b61 6765 207b  il {.  package {
│ │ │ -001d49e0: 2027 7365 6e64 6d61 696c 273a 0a20 2020   'sendmail':.   
│ │ │ -001d49f0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -001d4a00: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -001d4a10: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -001d4a20: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -001d4a30: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -001d4a40: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -001d4a50: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -001d4a60: 2369 646d 3230 3231 3722 2074 6162 696e  #idm20217" tabin
│ │ │ -001d4a70: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -001d4a80: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -001d4a90: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -001d4aa0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -001d4ab0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001d4ac0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -001d4ad0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -001d4ae0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001d4af0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001d4b00: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001d4b10: 2269 646d 3230 3231 3722 3e3c 7461 626c  "idm20217"><tabl
│ │ │ -001d4b20: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001d4b30: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001d4b40: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001d4b50: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001d4b60: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001d4b70: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001d4b80: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001d4b90: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001d4ba0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001d4bb0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001d4bc0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001d4bd0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001d4be0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001d4bf0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001d4c00: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001d4c10: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -001d4c20: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -001d4c30: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -001d4c40: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -001d4c50: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -001d4c60: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -001d4c70: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ -001d4c80: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ -001d4c90: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -001d4ca0: 434d 2d37 2862 290a 2020 2d20 6469 7361  CM-7(b).  - disa
│ │ │ -001d4cb0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -001d4cc0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -001d4cd0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -001d4ce0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -001d4cf0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -001d4d00: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -001d4d10: 7061 636b 6167 655f 7365 6e64 6d61 696c  package_sendmail
│ │ │ -001d4d20: 5f72 656d 6f76 6564 0a0a 2d20 6e61 6d65  _removed..- name
│ │ │ -001d4d30: 3a20 456e 7375 7265 2073 656e 646d 6169  : Ensure sendmai
│ │ │ -001d4d40: 6c20 6973 2072 656d 6f76 6564 0a20 2070  l is removed.  p
│ │ │ -001d4d50: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -001d4d60: 3a20 7365 6e64 6d61 696c 0a20 2020 2073  : sendmail.    s
│ │ │ -001d4d70: 7461 7465 3a20 6162 7365 6e74 0a20 2077  tate: absent.  w
│ │ │ -001d4d80: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -001d4d90: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -001d4da0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -001d4db0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -001d4dc0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -001d4dd0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -001d4de0: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -001d4df0: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -001d4e00: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -001d4e10: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -001d4e20: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -001d4e30: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -001d4e40: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -001d4e50: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -001d4e60: 640a 2020 2d20 7061 636b 6167 655f 7365  d.  - package_se
│ │ │ -001d4e70: 6e64 6d61 696c 5f72 656d 6f76 6564 0a3c  ndmail_removed.<
│ │ │ -001d4e80: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -001d4e90: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -001d4ea0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -001d4eb0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -001d4ec0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -001d4ed0: 2223 6964 6d32 3032 3138 2220 7461 6269  "#idm20218" tabi
│ │ │ -001d4ee0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -001d4ef0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -001d4f00: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -001d4f10: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -001d4f20: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -001d4f30: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -001d4f40: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -001d4f50: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -001d4f60: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -001d4f70: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -001d4f80: 646d 3230 3231 3822 3e3c 7461 626c 6520  dm20218"><table 
│ │ │ -001d4f90: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -001d4fa0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -001d4fb0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -001d4fc0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -001d4fd0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -001d4fe0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001d4ff0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -001d5000: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -001d5010: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001d5020: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -001d5030: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -001d5040: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -001d5050: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -001d5060: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -001d5070: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -001d5080: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ -001d5090: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ -001d50a0: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ -001d50b0: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ -001d50c0: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ -001d50d0: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ -001d50e0: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ -001d50f0: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ -001d5100: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ -001d5110: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ -001d5120: 643b 2074 6865 6e0a 0a23 2043 4155 5449  d; then..# CAUTI
│ │ │ -001d5130: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ -001d5140: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ -001d5150: 2072 656d 6f76 6520 7365 6e64 6d61 696c   remove sendmail
│ │ │ -001d5160: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ -001d5170: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ -001d5180: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ -001d5190: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ -001d51a0: 656e 6420 6f6e 2073 656e 646d 6169 6c2e  end on sendmail.
│ │ │ -001d51b0: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -001d51c0: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -001d51d0: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -001d51e0: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -001d51f0: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -001d5200: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -001d5210: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -001d5220: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -001d5230: 2273 656e 646d 6169 6c22 0a0a 656c 7365  "sendmail"..else
│ │ │ -001d5240: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ -001d5250: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ -001d5260: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ -001d5270: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ -001d5280: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +001d4850: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +001d4860: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +001d4870: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +001d4880: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +001d4890: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +001d48a0: 3d22 6964 6d32 3032 3136 223e 3c74 6162  ="idm20216"><tab
│ │ │ +001d48b0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +001d48c0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +001d48d0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +001d48e0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +001d48f0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +001d4900: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001d4910: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +001d4920: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +001d4930: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001d4940: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +001d4950: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +001d4960: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +001d4970: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +001d4980: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +001d4990: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +001d49a0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +001d49b0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +001d49c0: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +001d49d0: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +001d49e0: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +001d49f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001d4a00: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ +001d4a10: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ +001d4a20: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001d4a30: 2d43 4d2d 3728 6229 0a20 202d 2064 6973  -CM-7(b).  - dis
│ │ │ +001d4a40: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +001d4a50: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +001d4a60: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +001d4a70: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +001d4a80: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +001d4a90: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +001d4aa0: 2070 6163 6b61 6765 5f73 656e 646d 6169   package_sendmai
│ │ │ +001d4ab0: 6c5f 7265 6d6f 7665 640a 0a2d 206e 616d  l_removed..- nam
│ │ │ +001d4ac0: 653a 2045 6e73 7572 6520 7365 6e64 6d61  e: Ensure sendma
│ │ │ +001d4ad0: 696c 2069 7320 7265 6d6f 7665 640a 2020  il is removed.  
│ │ │ +001d4ae0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001d4af0: 653a 2073 656e 646d 6169 6c0a 2020 2020  e: sendmail.    
│ │ │ +001d4b00: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +001d4b10: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ +001d4b20: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ +001d4b30: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +001d4b40: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +001d4b50: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +001d4b60: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +001d4b70: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ +001d4b80: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ +001d4b90: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +001d4ba0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +001d4bb0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +001d4bc0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +001d4bd0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +001d4be0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +001d4bf0: 6564 0a20 202d 2070 6163 6b61 6765 5f73  ed.  - package_s
│ │ │ +001d4c00: 656e 646d 6169 6c5f 7265 6d6f 7665 640a  endmail_removed.
│ │ │ +001d4c10: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +001d4c20: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +001d4c30: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +001d4c40: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +001d4c50: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +001d4c60: 3d22 2369 646d 3230 3231 3722 2074 6162  ="#idm20217" tab
│ │ │ +001d4c70: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +001d4c80: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +001d4c90: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +001d4ca0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +001d4cb0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +001d4cc0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ +001d4cd0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ +001d4ce0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +001d4cf0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +001d4d00: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +001d4d10: 6964 6d32 3032 3137 223e 3c74 6162 6c65  idm20217"><table
│ │ │ +001d4d20: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +001d4d30: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +001d4d40: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +001d4d50: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +001d4d60: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +001d4d70: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001d4d80: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +001d4d90: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +001d4da0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001d4db0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +001d4dc0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +001d4dd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +001d4de0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +001d4df0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +001d4e00: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +001d4e10: 6465 3e23 2052 656d 6564 6961 7469 6f6e  de># Remediation
│ │ │ +001d4e20: 2069 7320 6170 706c 6963 6162 6c65 206f   is applicable o
│ │ │ +001d4e30: 6e6c 7920 696e 2063 6572 7461 696e 2070  nly in certain p
│ │ │ +001d4e40: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67  latforms.if dpkg
│ │ │ +001d4e50: 2d71 7565 7279 202d 2d73 686f 7720 2d2d  -query --show --
│ │ │ +001d4e60: 7368 6f77 666f 726d 6174 3d27 247b 6462  showformat='${db
│ │ │ +001d4e70: 3a53 7461 7475 732d 5374 6174 7573 7d0a  :Status-Status}.
│ │ │ +001d4e80: 2720 276c 696e 7578 2d62 6173 6527 2032  ' 'linux-base' 2
│ │ │ +001d4e90: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20  &gt;/dev/null | 
│ │ │ +001d4ea0: 6772 6570 202d 7120 5e69 6e73 7461 6c6c  grep -q ^install
│ │ │ +001d4eb0: 6564 3b20 7468 656e 0a0a 2320 4341 5554  ed; then..# CAUT
│ │ │ +001d4ec0: 494f 4e3a 2054 6869 7320 7265 6d65 6469  ION: This remedi
│ │ │ +001d4ed0: 6174 696f 6e20 7363 7269 7074 2077 696c  ation script wil
│ │ │ +001d4ee0: 6c20 7265 6d6f 7665 2073 656e 646d 6169  l remove sendmai
│ │ │ +001d4ef0: 6c0a 2309 2020 2066 726f 6d20 7468 6520  l.#.   from the 
│ │ │ +001d4f00: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ +001d4f10: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ +001d4f20: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ +001d4f30: 7065 6e64 206f 6e20 7365 6e64 6d61 696c  pend on sendmail
│ │ │ +001d4f40: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +001d4f50: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +001d4f60: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +001d4f70: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +001d4f80: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +001d4f90: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +001d4fa0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +001d4fb0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +001d4fc0: 2022 7365 6e64 6d61 696c 220a 0a65 6c73   "sendmail"..els
│ │ │ +001d4fd0: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ +001d4fe0: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ +001d4ff0: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ +001d5000: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ +001d5010: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +001d5020: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +001d5030: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +001d5040: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +001d5050: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +001d5060: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +001d5070: 6d32 3032 3138 2220 7461 6269 6e64 6578  m20218" tabindex
│ │ │ +001d5080: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +001d5090: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +001d50a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +001d50b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +001d50c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +001d50d0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +001d50e0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001d50f0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001d5100: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001d5110: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001d5120: 3230 3231 3822 3e3c 7461 626c 6520 636c  20218"><table cl
│ │ │ +001d5130: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001d5140: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001d5150: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001d5160: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001d5170: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001d5180: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001d5190: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001d51a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001d51b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001d51c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001d51d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001d51e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001d51f0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +001d5200: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001d5210: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001d5220: 696e 636c 7564 6520 7265 6d6f 7665 5f73  include remove_s
│ │ │ +001d5230: 656e 646d 6169 6c0a 0a63 6c61 7373 2072  endmail..class r
│ │ │ +001d5240: 656d 6f76 655f 7365 6e64 6d61 696c 207b  emove_sendmail {
│ │ │ +001d5250: 0a20 2070 6163 6b61 6765 207b 2027 7365  .  package { 'se
│ │ │ +001d5260: 6e64 6d61 696c 273a 0a20 2020 2065 6e73  ndmail':.    ens
│ │ │ +001d5270: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +001d5280: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  001d5290: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  001d52a0: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  001d52b0: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  001d52c0: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  001d52d0: 7474 2d69 643d 2263 6869 6c64 7265 6e2d  tt-id="children-
│ │ │  001d52e0: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  001d52f0: 6a65 6374 2e63 6f6e 7465 6e74 5f67 726f  ject.content_gro
│ │ │ @@ -120548,183 +120548,183 @@
│ │ │  001d6e30: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001d6e40: 646d 3230 3437 3522 2074 6162 696e 6465  dm20475" tabinde
│ │ │  001d6e50: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001d6e60: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001d6e70: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001d6e80: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001d6e90: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001d6ea0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -001d6eb0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -001d6ec0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -001d6ed0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001d6ee0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001d6ef0: 7073 6522 2069 643d 2269 646d 3230 3437  pse" id="idm2047
│ │ │ -001d6f00: 3522 3e3c 7072 653e 3c63 6f64 653e 0a5b  5"><pre><code>.[
│ │ │ -001d6f10: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ -001d6f20: 203d 2022 6368 726f 6e79 220a 7665 7273   = "chrony".vers
│ │ │ -001d6f30: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ -001d6f40: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -001d6f50: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -001d6f60: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -001d6f70: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -001d6f80: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -001d6f90: 3230 3437 3622 2074 6162 696e 6465 783d  20476" tabindex=
│ │ │ -001d6fa0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -001d6fb0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -001d6fc0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -001d6fd0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -001d6fe0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001d6ff0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -001d7000: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001d7010: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001d7020: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001d7030: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001d7040: 3034 3736 223e 3c74 6162 6c65 2063 6c61  0476"><table cla
│ │ │ -001d7050: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001d7060: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001d7070: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001d7080: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001d7090: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001d70a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001d70b0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001d70c0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001d70d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001d70e0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001d70f0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001d7100: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001d7110: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -001d7120: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -001d7130: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -001d7140: 636c 7564 6520 696e 7374 616c 6c5f 6368  clude install_ch
│ │ │ -001d7150: 726f 6e79 0a0a 636c 6173 7320 696e 7374  rony..class inst
│ │ │ -001d7160: 616c 6c5f 6368 726f 6e79 207b 0a20 2070  all_chrony {.  p
│ │ │ -001d7170: 6163 6b61 6765 207b 2027 6368 726f 6e79  ackage { 'chrony
│ │ │ -001d7180: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -001d7190: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -001d71a0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -001d71b0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -001d71c0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -001d71d0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -001d71e0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -001d71f0: 2d74 6172 6765 743d 2223 6964 6d32 3034  -target="#idm204
│ │ │ -001d7200: 3737 2220 7461 6269 6e64 6578 3d22 3022  77" tabindex="0"
│ │ │ -001d7210: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -001d7220: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -001d7230: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -001d7240: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -001d7250: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -001d7260: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -001d7270: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001d7280: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001d7290: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001d72a0: 6170 7365 2220 6964 3d22 6964 6d32 3034  apse" id="idm204
│ │ │ -001d72b0: 3737 223e 3c74 6162 6c65 2063 6c61 7373  77"><table class
│ │ │ -001d72c0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001d72d0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001d72e0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001d72f0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001d7300: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001d7310: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001d7320: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001d7330: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001d7340: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001d7350: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001d7360: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001d7370: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001d7380: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -001d7390: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001d73a0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001d73b0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -001d73c0: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -001d73d0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -001d73e0: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -001d73f0: 2020 7461 6773 3a0a 2020 2d20 5043 492d    tags:.  - PCI-
│ │ │ -001d7400: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ -001d7410: 2050 4349 2d44 5353 7634 2d31 302e 360a   PCI-DSSv4-10.6.
│ │ │ -001d7420: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -001d7430: 2e36 2e31 0a20 202d 2065 6e61 626c 655f  .6.1.  - enable_
│ │ │ -001d7440: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -001d7450: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -001d7460: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -001d7470: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -001d7480: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -001d7490: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -001d74a0: 6167 655f 6368 726f 6e79 5f69 6e73 7461  age_chrony_insta
│ │ │ -001d74b0: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -001d74c0: 7375 7265 2063 6872 6f6e 7920 6973 2069  sure chrony is i
│ │ │ -001d74d0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -001d74e0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6368  ge:.    name: ch
│ │ │ -001d74f0: 726f 6e79 0a20 2020 2073 7461 7465 3a20  rony.    state: 
│ │ │ -001d7500: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -001d7510: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -001d7520: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -001d7530: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -001d7540: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -001d7550: 2d31 302e 340a 2020 2d20 5043 492d 4453  -10.4.  - PCI-DS
│ │ │ -001d7560: 5376 342d 3130 2e36 0a20 202d 2050 4349  Sv4-10.6.  - PCI
│ │ │ -001d7570: 2d44 5353 7634 2d31 302e 362e 310a 2020  -DSSv4-10.6.1.  
│ │ │ -001d7580: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -001d7590: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -001d75a0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -001d75b0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -001d75c0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -001d75d0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -001d75e0: 0a20 202d 2070 6163 6b61 6765 5f63 6872  .  - package_chr
│ │ │ -001d75f0: 6f6e 795f 696e 7374 616c 6c65 640a 3c2f  ony_installed.</
│ │ │ -001d7600: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -001d7610: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -001d7620: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -001d7630: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -001d7640: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -001d7650: 2369 646d 3230 3437 3822 2074 6162 696e  #idm20478" tabin
│ │ │ -001d7660: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -001d7670: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -001d7680: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -001d7690: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -001d76a0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001d76b0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -001d76c0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -001d76d0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001d76e0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001d76f0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001d7700: 6d32 3034 3738 223e 3c74 6162 6c65 2063  m20478"><table c
│ │ │ -001d7710: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001d7720: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001d7730: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001d7740: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001d7750: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001d7760: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001d7770: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001d7780: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001d7790: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001d77a0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001d77b0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001d77c0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001d77d0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -001d77e0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001d77f0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001d7800: 2320 5265 6d65 6469 6174 696f 6e20 6973  # Remediation is
│ │ │ -001d7810: 2061 7070 6c69 6361 626c 6520 6f6e 6c79   applicable only
│ │ │ -001d7820: 2069 6e20 6365 7274 6169 6e20 706c 6174   in certain plat
│ │ │ -001d7830: 666f 726d 730a 6966 2064 706b 672d 7175  forms.if dpkg-qu
│ │ │ -001d7840: 6572 7920 2d2d 7368 6f77 202d 2d73 686f  ery --show --sho
│ │ │ -001d7850: 7766 6f72 6d61 743d 2724 7b64 623a 5374  wformat='${db:St
│ │ │ -001d7860: 6174 7573 2d53 7461 7475 737d 0a27 2027  atus-Status}.' '
│ │ │ -001d7870: 6c69 6e75 782d 6261 7365 2720 3226 6774  linux-base' 2&gt
│ │ │ -001d7880: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265  ;/dev/null | gre
│ │ │ -001d7890: 7020 2d71 205e 696e 7374 616c 6c65 643b  p -q ^installed;
│ │ │ -001d78a0: 2074 6865 6e0a 0a44 4542 4941 4e5f 4652   then..DEBIAN_FR
│ │ │ -001d78b0: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -001d78c0: 6374 6976 6520 6170 742d 6765 7420 696e  ctive apt-get in
│ │ │ -001d78d0: 7374 616c 6c20 2d79 2022 6368 726f 6e79  stall -y "chrony
│ │ │ -001d78e0: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ -001d78f0: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ -001d7900: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ -001d7910: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ -001d7920: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +001d6ea0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +001d6eb0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +001d6ec0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001d6ed0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001d6ee0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001d6ef0: 646d 3230 3437 3522 3e3c 7461 626c 6520  dm20475"><table 
│ │ │ +001d6f00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001d6f10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001d6f20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001d6f30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001d6f40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001d6f50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001d6f60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001d6f70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001d6f80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001d6f90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001d6fa0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001d6fb0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001d6fc0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +001d6fd0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001d6fe0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001d6ff0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +001d7000: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +001d7010: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +001d7020: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +001d7030: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +001d7040: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +001d7050: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ +001d7060: 3130 2e36 0a20 202d 2050 4349 2d44 5353  10.6.  - PCI-DSS
│ │ │ +001d7070: 7634 2d31 302e 362e 310a 2020 2d20 656e  v4-10.6.1.  - en
│ │ │ +001d7080: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +001d7090: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +001d70a0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +001d70b0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +001d70c0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +001d70d0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +001d70e0: 2070 6163 6b61 6765 5f63 6872 6f6e 795f   package_chrony_
│ │ │ +001d70f0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ +001d7100: 653a 2045 6e73 7572 6520 6368 726f 6e79  e: Ensure chrony
│ │ │ +001d7110: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ +001d7120: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001d7130: 653a 2063 6872 6f6e 790a 2020 2020 7374  e: chrony.    st
│ │ │ +001d7140: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ +001d7150: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +001d7160: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +001d7170: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +001d7180: 7461 6773 3a0a 2020 2d20 5043 492d 4453  tags:.  - PCI-DS
│ │ │ +001d7190: 532d 5265 712d 3130 2e34 0a20 202d 2050  S-Req-10.4.  - P
│ │ │ +001d71a0: 4349 2d44 5353 7634 2d31 302e 360a 2020  CI-DSSv4-10.6.  
│ │ │ +001d71b0: 2d20 5043 492d 4453 5376 342d 3130 2e36  - PCI-DSSv4-10.6
│ │ │ +001d71c0: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +001d71d0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +001d71e0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +001d71f0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +001d7200: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +001d7210: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001d7220: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001d7230: 655f 6368 726f 6e79 5f69 6e73 7461 6c6c  e_chrony_install
│ │ │ +001d7240: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +001d7250: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +001d7260: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +001d7270: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +001d7280: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +001d7290: 6765 743d 2223 6964 6d32 3034 3736 2220  get="#idm20476" 
│ │ │ +001d72a0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +001d72b0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +001d72c0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +001d72d0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +001d72e0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +001d72f0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +001d7300: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +001d7310: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001d7320: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001d7330: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001d7340: 643d 2269 646d 3230 3437 3622 3e3c 7461  d="idm20476"><ta
│ │ │ +001d7350: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001d7360: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001d7370: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001d7380: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001d7390: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001d73a0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001d73b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001d73c0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001d73d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001d73e0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001d73f0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001d7400: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001d7410: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001d7420: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +001d7430: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +001d7440: 636f 6465 3e23 2052 656d 6564 6961 7469  code># Remediati
│ │ │ +001d7450: 6f6e 2069 7320 6170 706c 6963 6162 6c65  on is applicable
│ │ │ +001d7460: 206f 6e6c 7920 696e 2063 6572 7461 696e   only in certain
│ │ │ +001d7470: 2070 6c61 7466 6f72 6d73 0a69 6620 6470   platforms.if dp
│ │ │ +001d7480: 6b67 2d71 7565 7279 202d 2d73 686f 7720  kg-query --show 
│ │ │ +001d7490: 2d2d 7368 6f77 666f 726d 6174 3d27 247b  --showformat='${
│ │ │ +001d74a0: 6462 3a53 7461 7475 732d 5374 6174 7573  db:Status-Status
│ │ │ +001d74b0: 7d0a 2720 276c 696e 7578 2d62 6173 6527  }.' 'linux-base'
│ │ │ +001d74c0: 2032 2667 743b 2f64 6576 2f6e 756c 6c20   2&gt;/dev/null 
│ │ │ +001d74d0: 7c20 6772 6570 202d 7120 5e69 6e73 7461  | grep -q ^insta
│ │ │ +001d74e0: 6c6c 6564 3b20 7468 656e 0a0a 4445 4249  lled; then..DEBI
│ │ │ +001d74f0: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +001d7500: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +001d7510: 6574 2069 6e73 7461 6c6c 202d 7920 2263  et install -y "c
│ │ │ +001d7520: 6872 6f6e 7922 0a0a 656c 7365 0a20 2020  hrony"..else.   
│ │ │ +001d7530: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ +001d7540: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ +001d7550: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ +001d7560: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ +001d7570: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +001d7580: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +001d7590: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +001d75a0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +001d75b0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +001d75c0: 7461 7267 6574 3d22 2369 646d 3230 3437  target="#idm2047
│ │ │ +001d75d0: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ +001d75e0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +001d75f0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +001d7600: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +001d7610: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +001d7620: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +001d7630: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +001d7640: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +001d7650: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001d7660: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001d7670: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001d7680: 643d 2269 646d 3230 3437 3722 3e3c 7072  d="idm20477"><pr
│ │ │ +001d7690: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ +001d76a0: 6765 735d 5d0a 6e61 6d65 203d 2022 6368  ges]].name = "ch
│ │ │ +001d76b0: 726f 6e79 220a 7665 7273 696f 6e20 3d20  rony".version = 
│ │ │ +001d76c0: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ +001d76d0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +001d76e0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +001d76f0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +001d7700: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +001d7710: 7267 6574 3d22 2369 646d 3230 3437 3822  rget="#idm20478"
│ │ │ +001d7720: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +001d7730: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +001d7740: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +001d7750: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +001d7760: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +001d7770: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +001d7780: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +001d7790: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001d77a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001d77b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001d77c0: 2220 6964 3d22 6964 6d32 3034 3738 223e  " id="idm20478">
│ │ │ +001d77d0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001d77e0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001d77f0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001d7800: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001d7810: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001d7820: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001d7830: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001d7840: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001d7850: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001d7860: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001d7870: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001d7880: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001d7890: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001d78a0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +001d78b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001d78c0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +001d78d0: 696e 7374 616c 6c5f 6368 726f 6e79 0a0a  install_chrony..
│ │ │ +001d78e0: 636c 6173 7320 696e 7374 616c 6c5f 6368  class install_ch
│ │ │ +001d78f0: 726f 6e79 207b 0a20 2070 6163 6b61 6765  rony {.  package
│ │ │ +001d7900: 207b 2027 6368 726f 6e79 273a 0a20 2020   { 'chrony':.   
│ │ │ +001d7910: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +001d7920: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │  001d7930: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  001d7940: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  001d7950: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  001d7960: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c74  ble></td></tr><t
│ │ │  001d7970: 7220 6461 7461 2d74 742d 6964 3d22 7863  r data-tt-id="xc
│ │ │  001d7980: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  001d7990: 6374 2e63 6f6e 7465 6e74 5f72 756c 655f  ct.content_rule_
│ │ │ @@ -122689,181 +122689,181 @@
│ │ │  001df400: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  001df410: 3d22 2369 646d 3230 3837 3622 2074 6162  ="#idm20876" tab
│ │ │  001df420: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  001df430: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  001df440: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  001df450: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  001df460: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001df470: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -001df480: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -001df490: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001df4a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001df4b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001df4c0: 3d22 6964 6d32 3038 3736 223e 3c74 6162  ="idm20876"><tab
│ │ │ -001df4d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001df4e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001df4f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001df500: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001df510: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001df520: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001df530: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001df540: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001df550: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001df560: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001df570: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001df580: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001df590: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001df5a0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001df5b0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001df5c0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -001df5d0: 6f76 655f 7869 6e65 7464 0a0a 636c 6173  ove_xinetd..clas
│ │ │ -001df5e0: 7320 7265 6d6f 7665 5f78 696e 6574 6420  s remove_xinetd 
│ │ │ -001df5f0: 7b0a 2020 7061 636b 6167 6520 7b20 2778  {.  package { 'x
│ │ │ -001df600: 696e 6574 6427 3a0a 2020 2020 656e 7375  inetd':.    ensu
│ │ │ -001df610: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -001df620: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -001df630: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -001df640: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -001df650: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -001df660: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -001df670: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -001df680: 3038 3737 2220 7461 6269 6e64 6578 3d22  0877" tabindex="
│ │ │ -001df690: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -001df6a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -001df6b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -001df6c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -001df6d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -001df6e0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -001df6f0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001df700: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001df710: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001df720: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001df730: 3038 3737 223e 3c74 6162 6c65 2063 6c61  0877"><table cla
│ │ │ -001df740: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001df750: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001df760: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001df770: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001df780: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001df790: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001df7a0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001df7b0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001df7c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001df7d0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001df7e0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001df7f0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001df800: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -001df810: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -001df820: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -001df830: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -001df840: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -001df850: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -001df860: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -001df870: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -001df880: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -001df890: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -001df8a0: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ -001df8b0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -001df8c0: 6229 0a20 202d 2050 4349 2d44 5353 7634  b).  - PCI-DSSv4
│ │ │ -001df8d0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ -001df8e0: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ -001df8f0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -001df900: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001df910: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001df920: 696f 6e0a 2020 2d20 6c6f 775f 7365 7665  ion.  - low_seve
│ │ │ -001df930: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -001df940: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -001df950: 636b 6167 655f 7869 6e65 7464 5f72 656d  ckage_xinetd_rem
│ │ │ -001df960: 6f76 6564 0a0a 2d20 6e61 6d65 3a20 456e  oved..- name: En
│ │ │ -001df970: 7375 7265 2078 696e 6574 6420 6973 2072  sure xinetd is r
│ │ │ -001df980: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -001df990: 3a0a 2020 2020 6e61 6d65 3a20 7869 6e65  :.    name: xine
│ │ │ -001df9a0: 7464 0a20 2020 2073 7461 7465 3a20 6162  td.    state: ab
│ │ │ -001df9b0: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ -001df9c0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ -001df9d0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -001df9e0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -001df9f0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -001dfa00: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -001dfa10: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -001dfa20: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -001dfa30: 2d37 2862 290a 2020 2d20 5043 492d 4453  -7(b).  - PCI-DS
│ │ │ -001dfa40: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ -001dfa50: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ -001dfa60: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -001dfa70: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -001dfa80: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -001dfa90: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ -001dfaa0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001dfab0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001dfac0: 2070 6163 6b61 6765 5f78 696e 6574 645f   package_xinetd_
│ │ │ -001dfad0: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -001dfae0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -001dfaf0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -001dfb00: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -001dfb10: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -001dfb20: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ -001dfb30: 3837 3822 2074 6162 696e 6465 783d 2230  878" tabindex="0
│ │ │ -001dfb40: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -001dfb50: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -001dfb60: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -001dfb70: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -001dfb80: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001dfb90: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -001dfba0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -001dfbb0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001dfbc0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001dfbd0: 7365 2220 6964 3d22 6964 6d32 3038 3738  se" id="idm20878
│ │ │ -001dfbe0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001dfbf0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001dfc00: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001dfc10: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001dfc20: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001dfc30: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001dfc40: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001dfc50: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001dfc60: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001dfc70: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001dfc80: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001dfc90: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001dfca0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001dfcb0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -001dfcc0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -001dfcd0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ -001dfce0: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ -001dfcf0: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ -001dfd00: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ -001dfd10: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ -001dfd20: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ -001dfd30: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ -001dfd40: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ -001dfd50: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ -001dfd60: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -001dfd70: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ -001dfd80: 0a0a 2320 4341 5554 494f 4e3a 2054 6869  ..# CAUTION: Thi
│ │ │ -001dfd90: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -001dfda0: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -001dfdb0: 2078 696e 6574 640a 2309 2020 2066 726f   xinetd.#.   fro
│ │ │ -001dfdc0: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ -001dfdd0: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ -001dfde0: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ -001dfdf0: 6861 7420 6465 7065 6e64 206f 6e20 7869  hat depend on xi
│ │ │ -001dfe00: 6e65 7464 2e20 4578 6563 7574 6520 7468  netd. Execute th
│ │ │ -001dfe10: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ -001dfe20: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ -001dfe30: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ -001dfe40: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ -001dfe50: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ -001dfe60: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -001dfe70: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ -001dfe80: 6520 2d79 2022 7869 6e65 7464 220a 0a65  e -y "xinetd"..e
│ │ │ -001dfe90: 6c73 650a 2020 2020 2667 743b 2661 6d70  lse.    &gt;&amp
│ │ │ -001dfea0: 3b32 2065 6368 6f20 2752 656d 6564 6961  ;2 echo 'Remedia
│ │ │ -001dfeb0: 7469 6f6e 2069 7320 6e6f 7420 6170 706c  tion is not appl
│ │ │ -001dfec0: 6963 6162 6c65 2c20 6e6f 7468 696e 6720  icable, nothing 
│ │ │ -001dfed0: 7761 7320 646f 6e65 270a 6669 0a3c 2f63  was done'.fi.</c
│ │ │ +001df470: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +001df480: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +001df490: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001df4a0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001df4b0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001df4c0: 643d 2269 646d 3230 3837 3622 3e3c 7461  d="idm20876"><ta
│ │ │ +001df4d0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001df4e0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001df4f0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001df500: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001df510: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001df520: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001df530: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001df540: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001df550: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001df560: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001df570: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001df580: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001df590: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001df5a0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001df5b0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001df5c0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +001df5d0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +001df5e0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +001df5f0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +001df600: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +001df610: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +001df620: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ +001df630: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ +001df640: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +001df650: 332d 434d 2d37 2862 290a 2020 2d20 5043  3-CM-7(b).  - PC
│ │ │ +001df660: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ +001df670: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ +001df680: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +001df690: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +001df6a0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +001df6b0: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ +001df6c0: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ +001df6d0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +001df6e0: 0a20 202d 2070 6163 6b61 6765 5f78 696e  .  - package_xin
│ │ │ +001df6f0: 6574 645f 7265 6d6f 7665 640a 0a2d 206e  etd_removed..- n
│ │ │ +001df700: 616d 653a 2045 6e73 7572 6520 7869 6e65  ame: Ensure xine
│ │ │ +001df710: 7464 2069 7320 7265 6d6f 7665 640a 2020  td is removed.  
│ │ │ +001df720: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001df730: 653a 2078 696e 6574 640a 2020 2020 7374  e: xinetd.    st
│ │ │ +001df740: 6174 653a 2061 6273 656e 740a 2020 7768  ate: absent.  wh
│ │ │ +001df750: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +001df760: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +001df770: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +001df780: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +001df790: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +001df7a0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +001df7b0: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ +001df7c0: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ +001df7d0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +001df7e0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001df7f0: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +001df800: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +001df810: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +001df820: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +001df830: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ +001df840: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +001df850: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +001df860: 7869 6e65 7464 5f72 656d 6f76 6564 0a3c  xinetd_removed.<
│ │ │ +001df870: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001df880: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001df890: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001df8a0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001df8b0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001df8c0: 2223 6964 6d32 3038 3737 2220 7461 6269  "#idm20877" tabi
│ │ │ +001df8d0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001df8e0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001df8f0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001df900: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001df910: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001df920: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +001df930: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +001df940: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001df950: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001df960: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001df970: 646d 3230 3837 3722 3e3c 7461 626c 6520  dm20877"><table 
│ │ │ +001df980: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001df990: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001df9a0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001df9b0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001df9c0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001df9d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001df9e0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001df9f0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001dfa00: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001dfa10: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001dfa20: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001dfa30: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001dfa40: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001dfa50: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001dfa60: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001dfa70: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ +001dfa80: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ +001dfa90: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ +001dfaa0: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ +001dfab0: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ +001dfac0: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ +001dfad0: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ +001dfae0: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ +001dfaf0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ +001dfb00: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ +001dfb10: 643b 2074 6865 6e0a 0a23 2043 4155 5449  d; then..# CAUTI
│ │ │ +001dfb20: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +001dfb30: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +001dfb40: 2072 656d 6f76 6520 7869 6e65 7464 0a23   remove xinetd.#
│ │ │ +001dfb50: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +001dfb60: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +001dfb70: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +001dfb80: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +001dfb90: 6420 6f6e 2078 696e 6574 642e 2045 7865  d on xinetd. Exe
│ │ │ +001dfba0: 6375 7465 2074 6869 730a 2309 2020 2072  cute this.#.   r
│ │ │ +001dfbb0: 656d 6564 6961 7469 6f6e 2041 4654 4552  emediation AFTER
│ │ │ +001dfbc0: 2074 6573 7469 6e67 206f 6e20 6120 6e6f   testing on a no
│ │ │ +001dfbd0: 6e2d 7072 6f64 7563 7469 6f6e 0a23 0920  n-production.#. 
│ │ │ +001dfbe0: 2020 7379 7374 656d 210a 0a44 4542 4941    system!..DEBIA
│ │ │ +001dfbf0: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +001dfc00: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +001dfc10: 7420 7265 6d6f 7665 202d 7920 2278 696e  t remove -y "xin
│ │ │ +001dfc20: 6574 6422 0a0a 656c 7365 0a20 2020 2026  etd"..else.    &
│ │ │ +001dfc30: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ +001dfc40: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ +001dfc50: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ +001dfc60: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ +001dfc70: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +001dfc80: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +001dfc90: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +001dfca0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +001dfcb0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +001dfcc0: 7267 6574 3d22 2369 646d 3230 3837 3822  rget="#idm20878"
│ │ │ +001dfcd0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +001dfce0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +001dfcf0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +001dfd00: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +001dfd10: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +001dfd20: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +001dfd30: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +001dfd40: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001dfd50: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001dfd60: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001dfd70: 2220 6964 3d22 6964 6d32 3038 3738 223e  " id="idm20878">
│ │ │ +001dfd80: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001dfd90: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001dfda0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001dfdb0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001dfdc0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001dfdd0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001dfde0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001dfdf0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001dfe00: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001dfe10: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001dfe20: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001dfe30: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001dfe40: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001dfe50: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +001dfe60: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +001dfe70: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +001dfe80: 2072 656d 6f76 655f 7869 6e65 7464 0a0a   remove_xinetd..
│ │ │ +001dfe90: 636c 6173 7320 7265 6d6f 7665 5f78 696e  class remove_xin
│ │ │ +001dfea0: 6574 6420 7b0a 2020 7061 636b 6167 6520  etd {.  package 
│ │ │ +001dfeb0: 7b20 2778 696e 6574 6427 3a0a 2020 2020  { 'xinetd':.    
│ │ │ +001dfec0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +001dfed0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  001dfee0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  001dfef0: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  001dff00: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  001dff10: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  001dff20: 7461 2d74 742d 6964 3d22 6368 696c 6472  ta-tt-id="childr
│ │ │  001dff30: 656e 2d78 6363 6466 5f6f 7267 2e73 7367  en-xccdf_org.ssg
│ │ │  001dff40: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │ @@ -123096,141 +123096,141 @@
│ │ │  001e0d70: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  001e0d80: 3d22 2369 646d 3230 3930 3022 2074 6162  ="#idm20900" tab
│ │ │  001e0d90: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  001e0da0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  001e0db0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  001e0dc0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  001e0dd0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001e0de0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -001e0df0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -001e0e00: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001e0e10: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001e0e20: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001e0e30: 3d22 6964 6d32 3039 3030 223e 3c74 6162  ="idm20900"><tab
│ │ │ -001e0e40: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001e0e50: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001e0e60: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001e0e70: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001e0e80: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001e0e90: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001e0ea0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001e0eb0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001e0ec0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001e0ed0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001e0ee0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001e0ef0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001e0f00: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001e0f10: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001e0f20: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001e0f30: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -001e0f40: 6f76 655f 7970 6269 6e64 2d6d 740a 0a63  ove_ypbind-mt..c
│ │ │ -001e0f50: 6c61 7373 2072 656d 6f76 655f 7970 6269  lass remove_ypbi
│ │ │ -001e0f60: 6e64 2d6d 7420 7b0a 2020 7061 636b 6167  nd-mt {.  packag
│ │ │ -001e0f70: 6520 7b20 2779 7062 696e 642d 6d74 273a  e { 'ypbind-mt':
│ │ │ -001e0f80: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -001e0f90: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ -001e0fa0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -001e0fb0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -001e0fc0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001e0fd0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001e0fe0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001e0ff0: 6574 3d22 2369 646d 3230 3930 3122 2074  et="#idm20901" t
│ │ │ -001e1000: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001e1010: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001e1020: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -001e1030: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -001e1040: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -001e1050: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001e1060: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -001e1070: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -001e1080: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -001e1090: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -001e10a0: 2069 643d 2269 646d 3230 3930 3122 3e3c   id="idm20901"><
│ │ │ -001e10b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -001e10c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -001e10d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -001e10e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -001e10f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001e1100: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001e1110: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e1120: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001e1130: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001e1140: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001e1150: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -001e1160: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e1170: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -001e1180: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -001e1190: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -001e11a0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -001e11b0: 456e 7375 7265 2079 7062 696e 642d 6d74  Ensure ypbind-mt
│ │ │ -001e11c0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001e11d0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001e11e0: 2079 7062 696e 642d 6d74 0a20 2020 2073   ypbind-mt.    s
│ │ │ -001e11f0: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -001e1200: 6167 733a 0a20 202d 2050 4349 2d44 5353  ags:.  - PCI-DSS
│ │ │ -001e1210: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -001e1220: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -001e1230: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -001e1240: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -001e1250: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -001e1260: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -001e1270: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -001e1280: 6163 6b61 6765 5f79 7062 696e 645f 7265  ackage_ypbind_re
│ │ │ -001e1290: 6d6f 7665 640a 2020 2d20 756e 6b6e 6f77  moved.  - unknow
│ │ │ -001e12a0: 6e5f 7365 7665 7269 7479 0a3c 2f63 6f64  n_severity.</cod
│ │ │ -001e12b0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -001e12c0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -001e12d0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -001e12e0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -001e12f0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -001e1300: 6d32 3039 3032 2220 7461 6269 6e64 6578  m20902" tabindex
│ │ │ -001e1310: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -001e1320: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -001e1330: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -001e1340: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -001e1350: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001e1360: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ -001e1370: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ -001e1380: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -001e1390: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -001e13a0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ -001e13b0: 3930 3222 3e3c 7461 626c 6520 636c 6173  902"><table clas
│ │ │ -001e13c0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -001e13d0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -001e13e0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -001e13f0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -001e1400: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -001e1410: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001e1420: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -001e1430: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -001e1440: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001e1450: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -001e1460: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -001e1470: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -001e1480: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -001e1490: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -001e14a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 0a23  le><pre><code>.#
│ │ │ -001e14b0: 2043 4155 5449 4f4e 3a20 5468 6973 2072   CAUTION: This r
│ │ │ -001e14c0: 656d 6564 6961 7469 6f6e 2073 6372 6970  emediation scrip
│ │ │ -001e14d0: 7420 7769 6c6c 2072 656d 6f76 6520 7970  t will remove yp
│ │ │ -001e14e0: 6269 6e64 2d6d 740a 2309 2020 2066 726f  bind-mt.#.   fro
│ │ │ -001e14f0: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ -001e1500: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ -001e1510: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ -001e1520: 6861 7420 6465 7065 6e64 206f 6e20 7970  hat depend on yp
│ │ │ -001e1530: 6269 6e64 2d6d 742e 2045 7865 6375 7465  bind-mt. Execute
│ │ │ -001e1540: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ -001e1550: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ -001e1560: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ -001e1570: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ -001e1580: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ -001e1590: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -001e15a0: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ -001e15b0: 6d6f 7665 202d 7920 2279 7062 696e 642d  move -y "ypbind-
│ │ │ -001e15c0: 6d74 220a 3c2f 636f 6465 3e3c 2f70 7265  mt".</code></pre
│ │ │ +001e0de0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +001e0df0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +001e0e00: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001e0e10: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001e0e20: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001e0e30: 643d 2269 646d 3230 3930 3022 3e3c 7461  d="idm20900"><ta
│ │ │ +001e0e40: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001e0e50: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001e0e60: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001e0e70: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001e0e80: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001e0e90: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001e0ea0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001e0eb0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001e0ec0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001e0ed0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001e0ee0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001e0ef0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001e0f00: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001e0f10: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001e0f20: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001e0f30: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +001e0f40: 7375 7265 2079 7062 696e 642d 6d74 2069  sure ypbind-mt i
│ │ │ +001e0f50: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +001e0f60: 6167 653a 0a20 2020 206e 616d 653a 2079  age:.    name: y
│ │ │ +001e0f70: 7062 696e 642d 6d74 0a20 2020 2073 7461  pbind-mt.    sta
│ │ │ +001e0f80: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +001e0f90: 733a 0a20 202d 2050 4349 2d44 5353 7634  s:.  - PCI-DSSv4
│ │ │ +001e0fa0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +001e0fb0: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ +001e0fc0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +001e0fd0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +001e0fe0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +001e0ff0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +001e1000: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +001e1010: 6b61 6765 5f79 7062 696e 645f 7265 6d6f  kage_ypbind_remo
│ │ │ +001e1020: 7665 640a 2020 2d20 756e 6b6e 6f77 6e5f  ved.  - unknown_
│ │ │ +001e1030: 7365 7665 7269 7479 0a3c 2f63 6f64 653e  severity.</code>
│ │ │ +001e1040: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001e1050: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001e1060: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001e1070: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001e1080: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001e1090: 3039 3031 2220 7461 6269 6e64 6578 3d22  0901" tabindex="
│ │ │ +001e10a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001e10b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001e10c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001e10d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001e10e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001e10f0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +001e1100: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +001e1110: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +001e1120: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +001e1130: 7073 6522 2069 643d 2269 646d 3230 3930  pse" id="idm2090
│ │ │ +001e1140: 3122 3e3c 7461 626c 6520 636c 6173 733d  1"><table class=
│ │ │ +001e1150: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +001e1160: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +001e1170: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001e1180: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001e1190: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001e11a0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001e11b0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001e11c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001e11d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +001e11e0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +001e11f0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +001e1200: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +001e1210: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +001e1220: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +001e1230: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ +001e1240: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ +001e1250: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ +001e1260: 7769 6c6c 2072 656d 6f76 6520 7970 6269  will remove ypbi
│ │ │ +001e1270: 6e64 2d6d 740a 2309 2020 2066 726f 6d20  nd-mt.#.   from 
│ │ │ +001e1280: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ +001e1290: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ +001e12a0: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ +001e12b0: 7420 6465 7065 6e64 206f 6e20 7970 6269  t depend on ypbi
│ │ │ +001e12c0: 6e64 2d6d 742e 2045 7865 6375 7465 2074  nd-mt. Execute t
│ │ │ +001e12d0: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ +001e12e0: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ +001e12f0: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ +001e1300: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ +001e1310: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ +001e1320: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +001e1330: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ +001e1340: 7665 202d 7920 2279 7062 696e 642d 6d74  ve -y "ypbind-mt
│ │ │ +001e1350: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +001e1360: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +001e1370: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +001e1380: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +001e1390: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +001e13a0: 6574 3d22 2369 646d 3230 3930 3222 2074  et="#idm20902" t
│ │ │ +001e13b0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +001e13c0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +001e13d0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +001e13e0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +001e13f0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +001e1400: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +001e1410: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +001e1420: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +001e1430: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +001e1440: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +001e1450: 6964 3d22 6964 6d32 3039 3032 223e 3c74  id="idm20902"><t
│ │ │ +001e1460: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +001e1470: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +001e1480: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +001e1490: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +001e14a0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +001e14b0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +001e14c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e14d0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +001e14e0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001e14f0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +001e1500: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +001e1510: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e1520: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +001e1530: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +001e1540: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +001e1550: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ +001e1560: 656d 6f76 655f 7970 6269 6e64 2d6d 740a  emove_ypbind-mt.
│ │ │ +001e1570: 0a63 6c61 7373 2072 656d 6f76 655f 7970  .class remove_yp
│ │ │ +001e1580: 6269 6e64 2d6d 7420 7b0a 2020 7061 636b  bind-mt {.  pack
│ │ │ +001e1590: 6167 6520 7b20 2779 7062 696e 642d 6d74  age { 'ypbind-mt
│ │ │ +001e15a0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +001e15b0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +001e15c0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  001e15d0: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  001e15e0: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  001e15f0: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  001e1600: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  001e1610: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  001e1620: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  001e1630: 6c65 5f70 6163 6b61 6765 5f79 7073 6572  le_package_ypser
│ │ │ @@ -123507,146 +123507,146 @@
│ │ │  001e2720: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001e2730: 646d 3231 3031 3722 2074 6162 696e 6465  dm21017" tabinde
│ │ │  001e2740: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001e2750: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001e2760: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001e2770: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001e2780: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001e2790: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -001e27a0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -001e27b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001e27c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001e27d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001e27e0: 6d32 3130 3137 223e 3c74 6162 6c65 2063  m21017"><table c
│ │ │ -001e27f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001e2800: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001e2810: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001e2820: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001e2830: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001e2840: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001e2850: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001e2860: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001e2870: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001e2880: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001e2890: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001e28a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001e28b0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001e28c0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001e28d0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001e28e0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -001e28f0: 7970 7365 7276 0a0a 636c 6173 7320 7265  ypserv..class re
│ │ │ -001e2900: 6d6f 7665 5f79 7073 6572 7620 7b0a 2020  move_ypserv {.  
│ │ │ -001e2910: 7061 636b 6167 6520 7b20 2779 7073 6572  package { 'ypser
│ │ │ -001e2920: 7627 3a0a 2020 2020 656e 7375 7265 203d  v':.    ensure =
│ │ │ -001e2930: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -001e2940: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -001e2950: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -001e2960: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -001e2970: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -001e2980: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -001e2990: 6172 6765 743d 2223 6964 6d32 3130 3138  arget="#idm21018
│ │ │ -001e29a0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001e29b0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001e29c0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001e29d0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001e29e0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001e29f0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001e2a00: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -001e2a10: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001e2a20: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001e2a30: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001e2a40: 7365 2220 6964 3d22 6964 6d32 3130 3138  se" id="idm21018
│ │ │ -001e2a50: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001e2a60: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001e2a70: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001e2a80: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001e2a90: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001e2aa0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001e2ab0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001e2ac0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001e2ad0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001e2ae0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001e2af0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001e2b00: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001e2b10: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001e2b20: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -001e2b30: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -001e2b40: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -001e2b50: 653a 2045 6e73 7572 6520 7970 7365 7276  e: Ensure ypserv
│ │ │ -001e2b60: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001e2b70: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001e2b80: 2079 7073 6572 760a 2020 2020 7374 6174   ypserv.    stat
│ │ │ -001e2b90: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -001e2ba0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -001e2bb0: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -001e2bc0: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -001e2bd0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001e2be0: 332d 434d 2d37 2862 290a 2020 2d20 4e49  3-CM-7(b).  - NI
│ │ │ -001e2bf0: 5354 2d38 3030 2d35 332d 4941 2d35 2831  ST-800-53-IA-5(1
│ │ │ -001e2c00: 2928 6329 0a20 202d 2050 4349 2d44 5353  )(c).  - PCI-DSS
│ │ │ -001e2c10: 2d52 6571 2d32 2e32 2e32 0a20 202d 2050  -Req-2.2.2.  - P
│ │ │ -001e2c20: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001e2c30: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -001e2c40: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -001e2c50: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ -001e2c60: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ -001e2c70: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -001e2c80: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -001e2c90: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001e2ca0: 6564 0a20 202d 2070 6163 6b61 6765 5f79  ed.  - package_y
│ │ │ -001e2cb0: 7073 6572 765f 7265 6d6f 7665 640a 3c2f  pserv_removed.</
│ │ │ -001e2cc0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -001e2cd0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -001e2ce0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -001e2cf0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -001e2d00: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -001e2d10: 2369 646d 3231 3031 3922 2074 6162 696e  #idm21019" tabin
│ │ │ -001e2d20: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -001e2d30: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -001e2d40: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -001e2d50: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -001e2d60: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001e2d70: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -001e2d80: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -001e2d90: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001e2da0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001e2db0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001e2dc0: 6d32 3130 3139 223e 3c74 6162 6c65 2063  m21019"><table c
│ │ │ -001e2dd0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001e2de0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001e2df0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001e2e00: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001e2e10: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001e2e20: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001e2e30: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001e2e40: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001e2e50: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001e2e60: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001e2e70: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001e2e80: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001e2e90: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001e2ea0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001e2eb0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001e2ec0: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -001e2ed0: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -001e2ee0: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -001e2ef0: 2079 7073 6572 760a 2309 2020 2066 726f   ypserv.#.   fro
│ │ │ -001e2f00: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ -001e2f10: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ -001e2f20: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ -001e2f30: 6861 7420 6465 7065 6e64 206f 6e20 7970  hat depend on yp
│ │ │ -001e2f40: 7365 7276 2e20 4578 6563 7574 6520 7468  serv. Execute th
│ │ │ -001e2f50: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ -001e2f60: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ -001e2f70: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ -001e2f80: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ -001e2f90: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ -001e2fa0: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -001e2fb0: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ -001e2fc0: 6520 2d79 2022 7970 7365 7276 220a 3c2f  e -y "ypserv".</
│ │ │ +001e2790: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +001e27a0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +001e27b0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001e27c0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001e27d0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001e27e0: 646d 3231 3031 3722 3e3c 7461 626c 6520  dm21017"><table 
│ │ │ +001e27f0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001e2800: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001e2810: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001e2820: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001e2830: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001e2840: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001e2850: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001e2860: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001e2870: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001e2880: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001e2890: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001e28a0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001e28b0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001e28c0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001e28d0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001e28e0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +001e28f0: 2079 7073 6572 7620 6973 2072 656d 6f76   ypserv is remov
│ │ │ +001e2900: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +001e2910: 2020 6e61 6d65 3a20 7970 7365 7276 0a20    name: ypserv. 
│ │ │ +001e2920: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +001e2930: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +001e2940: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +001e2950: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001e2960: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +001e2970: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +001e2980: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001e2990: 2d49 412d 3528 3129 2863 290a 2020 2d20  -IA-5(1)(c).  - 
│ │ │ +001e29a0: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ +001e29b0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +001e29c0: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +001e29d0: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ +001e29e0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +001e29f0: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ +001e2a00: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001e2a10: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001e2a20: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ +001e2a30: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +001e2a40: 636b 6167 655f 7970 7365 7276 5f72 656d  ckage_ypserv_rem
│ │ │ +001e2a50: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001e2a60: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +001e2a70: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +001e2a80: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +001e2a90: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +001e2aa0: 6172 6765 743d 2223 6964 6d32 3130 3138  arget="#idm21018
│ │ │ +001e2ab0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +001e2ac0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +001e2ad0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +001e2ae0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +001e2af0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +001e2b00: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001e2b10: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +001e2b20: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001e2b30: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001e2b40: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001e2b50: 2069 643d 2269 646d 3231 3031 3822 3e3c   id="idm21018"><
│ │ │ +001e2b60: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001e2b70: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001e2b80: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001e2b90: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001e2ba0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001e2bb0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001e2bc0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001e2bd0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001e2be0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001e2bf0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001e2c00: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001e2c10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001e2c20: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001e2c30: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001e2c40: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001e2c50: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +001e2c60: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +001e2c70: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +001e2c80: 2072 656d 6f76 6520 7970 7365 7276 0a23   remove ypserv.#
│ │ │ +001e2c90: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +001e2ca0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +001e2cb0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +001e2cc0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +001e2cd0: 6420 6f6e 2079 7073 6572 762e 2045 7865  d on ypserv. Exe
│ │ │ +001e2ce0: 6375 7465 2074 6869 730a 2309 2020 2072  cute this.#.   r
│ │ │ +001e2cf0: 656d 6564 6961 7469 6f6e 2041 4654 4552  emediation AFTER
│ │ │ +001e2d00: 2074 6573 7469 6e67 206f 6e20 6120 6e6f   testing on a no
│ │ │ +001e2d10: 6e2d 7072 6f64 7563 7469 6f6e 0a23 0920  n-production.#. 
│ │ │ +001e2d20: 2020 7379 7374 656d 210a 0a44 4542 4941    system!..DEBIA
│ │ │ +001e2d30: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +001e2d40: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +001e2d50: 7420 7265 6d6f 7665 202d 7920 2279 7073  t remove -y "yps
│ │ │ +001e2d60: 6572 7622 0a3c 2f63 6f64 653e 3c2f 7072  erv".</code></pr
│ │ │ +001e2d70: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +001e2d80: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +001e2d90: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +001e2da0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +001e2db0: 6172 6765 743d 2223 6964 6d32 3130 3139  arget="#idm21019
│ │ │ +001e2dc0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +001e2dd0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +001e2de0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +001e2df0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +001e2e00: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +001e2e10: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001e2e20: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +001e2e30: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001e2e40: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001e2e50: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001e2e60: 6522 2069 643d 2269 646d 3231 3031 3922  e" id="idm21019"
│ │ │ +001e2e70: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +001e2e80: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +001e2e90: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +001e2ea0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +001e2eb0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +001e2ec0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +001e2ed0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001e2ee0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +001e2ef0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001e2f00: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +001e2f10: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +001e2f20: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +001e2f30: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +001e2f40: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +001e2f50: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001e2f60: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +001e2f70: 6520 7265 6d6f 7665 5f79 7073 6572 760a  e remove_ypserv.
│ │ │ +001e2f80: 0a63 6c61 7373 2072 656d 6f76 655f 7970  .class remove_yp
│ │ │ +001e2f90: 7365 7276 207b 0a20 2070 6163 6b61 6765  serv {.  package
│ │ │ +001e2fa0: 207b 2027 7970 7365 7276 273a 0a20 2020   { 'ypserv':.   
│ │ │ +001e2fb0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +001e2fc0: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  001e2fd0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  001e2fe0: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  001e2ff0: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  001e3000: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  001e3010: 6174 612d 7474 2d69 643d 2263 6869 6c64  ata-tt-id="child
│ │ │  001e3020: 7265 6e2d 7863 6364 665f 6f72 672e 7373  ren-xccdf_org.ss
│ │ │  001e3030: 6770 726f 6a65 6374 2e63 6f6e 7465 6e74  gproject.content
│ │ │ @@ -123988,147 +123988,147 @@
│ │ │  001e4530: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  001e4540: 3133 3722 2074 6162 696e 6465 783d 2230  137" tabindex="0
│ │ │  001e4550: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  001e4560: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  001e4570: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  001e4580: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  001e4590: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001e45a0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -001e45b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001e45c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001e45d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001e45e0: 6170 7365 2220 6964 3d22 6964 6d32 3131  apse" id="idm211
│ │ │ -001e45f0: 3337 223e 3c74 6162 6c65 2063 6c61 7373  37"><table class
│ │ │ -001e4600: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001e4610: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001e4620: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001e4630: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001e4640: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001e4650: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001e4660: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001e4670: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001e4680: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001e4690: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001e46a0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001e46b0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001e46c0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -001e46d0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -001e46e0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -001e46f0: 6c75 6465 2072 656d 6f76 655f 7273 682d  lude remove_rsh-
│ │ │ -001e4700: 7365 7276 6572 0a0a 636c 6173 7320 7265  server..class re
│ │ │ -001e4710: 6d6f 7665 5f72 7368 2d73 6572 7665 7220  move_rsh-server 
│ │ │ -001e4720: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ -001e4730: 7368 2d73 6572 7665 7227 3a0a 2020 2020  sh-server':.    
│ │ │ -001e4740: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -001e4750: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -001e4760: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -001e4770: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -001e4780: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -001e4790: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -001e47a0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -001e47b0: 6964 6d32 3131 3338 2220 7461 6269 6e64  idm21138" tabind
│ │ │ -001e47c0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -001e47d0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -001e47e0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -001e47f0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -001e4800: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001e4810: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -001e4820: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -001e4830: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -001e4840: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -001e4850: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -001e4860: 6964 6d32 3131 3338 223e 3c74 6162 6c65  idm21138"><table
│ │ │ -001e4870: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -001e4880: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -001e4890: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -001e48a0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -001e48b0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -001e48c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001e48d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -001e48e0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -001e48f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001e4900: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -001e4910: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -001e4920: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -001e4930: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -001e4940: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -001e4950: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -001e4960: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ -001e4970: 6520 7273 682d 7365 7276 6572 2069 7320  e rsh-server is 
│ │ │ -001e4980: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -001e4990: 653a 0a20 2020 206e 616d 653a 2072 7368  e:.    name: rsh
│ │ │ -001e49a0: 2d73 6572 7665 720a 2020 2020 7374 6174  -server.    stat
│ │ │ -001e49b0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -001e49c0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -001e49d0: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -001e49e0: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -001e49f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001e4a00: 332d 434d 2d37 2862 290a 2020 2d20 4e49  3-CM-7(b).  - NI
│ │ │ -001e4a10: 5354 2d38 3030 2d35 332d 4941 2d35 2831  ST-800-53-IA-5(1
│ │ │ -001e4a20: 2928 6329 0a20 202d 2050 4349 2d44 5353  )(c).  - PCI-DSS
│ │ │ -001e4a30: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -001e4a40: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -001e4a50: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -001e4a60: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -001e4a70: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -001e4a80: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -001e4a90: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -001e4aa0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001e4ab0: 2070 6163 6b61 6765 5f72 7368 2d73 6572   package_rsh-ser
│ │ │ -001e4ac0: 7665 725f 7265 6d6f 7665 640a 3c2f 636f  ver_removed.</co
│ │ │ -001e4ad0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -001e4ae0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -001e4af0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -001e4b00: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -001e4b10: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -001e4b20: 646d 3231 3133 3922 2074 6162 696e 6465  dm21139" tabinde
│ │ │ -001e4b30: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -001e4b40: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -001e4b50: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -001e4b60: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -001e4b70: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001e4b80: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -001e4b90: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -001e4ba0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001e4bb0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001e4bc0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001e4bd0: 3131 3339 223e 3c74 6162 6c65 2063 6c61  1139"><table cla
│ │ │ -001e4be0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001e4bf0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001e4c00: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001e4c10: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001e4c20: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001e4c30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001e4c40: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001e4c50: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001e4c60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e4c70: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001e4c80: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001e4c90: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001e4ca0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -001e4cb0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -001e4cc0: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ -001e4cd0: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ -001e4ce0: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ -001e4cf0: 7074 2077 696c 6c20 7265 6d6f 7665 2072  pt will remove r
│ │ │ -001e4d00: 7368 2d73 6572 7665 720a 2309 2020 2066  sh-server.#.   f
│ │ │ -001e4d10: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ -001e4d20: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ -001e4d30: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ -001e4d40: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ -001e4d50: 7273 682d 7365 7276 6572 2e20 4578 6563  rsh-server. Exec
│ │ │ -001e4d60: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -001e4d70: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -001e4d80: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -001e4d90: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -001e4da0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -001e4db0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -001e4dc0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -001e4dd0: 2072 656d 6f76 6520 2d79 2022 7273 682d   remove -y "rsh-
│ │ │ -001e4de0: 7365 7276 6572 220a 3c2f 636f 6465 3e3c  server".</code><
│ │ │ +001e45a0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +001e45b0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001e45c0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001e45d0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001e45e0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001e45f0: 3133 3722 3e3c 7461 626c 6520 636c 6173  137"><table clas
│ │ │ +001e4600: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001e4610: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001e4620: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001e4630: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001e4640: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001e4650: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001e4660: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001e4670: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001e4680: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e4690: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001e46a0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001e46b0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001e46c0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001e46d0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001e46e0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +001e46f0: 6e61 6d65 3a20 456e 7375 7265 2072 7368  name: Ensure rsh
│ │ │ +001e4700: 2d73 6572 7665 7220 6973 2072 656d 6f76  -server is remov
│ │ │ +001e4710: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +001e4720: 2020 6e61 6d65 3a20 7273 682d 7365 7276    name: rsh-serv
│ │ │ +001e4730: 6572 0a20 2020 2073 7461 7465 3a20 6162  er.    state: ab
│ │ │ +001e4740: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +001e4750: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +001e4760: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +001e4770: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ +001e4780: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +001e4790: 3728 6229 0a20 202d 204e 4953 542d 3830  7(b).  - NIST-80
│ │ │ +001e47a0: 302d 3533 2d49 412d 3528 3129 2863 290a  0-53-IA-5(1)(c).
│ │ │ +001e47b0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +001e47c0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +001e47d0: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ +001e47e0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ +001e47f0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ +001e4800: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +001e4810: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +001e4820: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ +001e4830: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +001e4840: 6167 655f 7273 682d 7365 7276 6572 5f72  age_rsh-server_r
│ │ │ +001e4850: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +001e4860: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +001e4870: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +001e4880: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +001e4890: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +001e48a0: 2d74 6172 6765 743d 2223 6964 6d32 3131  -target="#idm211
│ │ │ +001e48b0: 3338 2220 7461 6269 6e64 6578 3d22 3022  38" tabindex="0"
│ │ │ +001e48c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +001e48d0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +001e48e0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +001e48f0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +001e4900: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +001e4910: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +001e4920: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +001e4930: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001e4940: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001e4950: 6522 2069 643d 2269 646d 3231 3133 3822  e" id="idm21138"
│ │ │ +001e4960: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +001e4970: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +001e4980: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +001e4990: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +001e49a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +001e49b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +001e49c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001e49d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +001e49e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001e49f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +001e4a00: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +001e4a10: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +001e4a20: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +001e4a30: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +001e4a40: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001e4a50: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ +001e4a60: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ +001e4a70: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ +001e4a80: 6c6c 2072 656d 6f76 6520 7273 682d 7365  ll remove rsh-se
│ │ │ +001e4a90: 7276 6572 0a23 0920 2020 6672 6f6d 2074  rver.#.   from t
│ │ │ +001e4aa0: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ +001e4ab0: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ +001e4ac0: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ +001e4ad0: 2064 6570 656e 6420 6f6e 2072 7368 2d73   depend on rsh-s
│ │ │ +001e4ae0: 6572 7665 722e 2045 7865 6375 7465 2074  erver. Execute t
│ │ │ +001e4af0: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ +001e4b00: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ +001e4b10: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ +001e4b20: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ +001e4b30: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ +001e4b40: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +001e4b50: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ +001e4b60: 7665 202d 7920 2272 7368 2d73 6572 7665  ve -y "rsh-serve
│ │ │ +001e4b70: 7222 0a3c 2f63 6f64 653e 3c2f 7072 653e  r".</code></pre>
│ │ │ +001e4b80: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +001e4b90: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +001e4ba0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +001e4bb0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +001e4bc0: 6765 743d 2223 6964 6d32 3131 3339 2220  get="#idm21139" 
│ │ │ +001e4bd0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +001e4be0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +001e4bf0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +001e4c00: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +001e4c10: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +001e4c20: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +001e4c30: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +001e4c40: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001e4c50: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001e4c60: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001e4c70: 2069 643d 2269 646d 3231 3133 3922 3e3c   id="idm21139"><
│ │ │ +001e4c80: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001e4c90: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001e4ca0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001e4cb0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001e4cc0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001e4cd0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001e4ce0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001e4cf0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001e4d00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001e4d10: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001e4d20: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001e4d30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001e4d40: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001e4d50: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001e4d60: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001e4d70: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +001e4d80: 7265 6d6f 7665 5f72 7368 2d73 6572 7665  remove_rsh-serve
│ │ │ +001e4d90: 720a 0a63 6c61 7373 2072 656d 6f76 655f  r..class remove_
│ │ │ +001e4da0: 7273 682d 7365 7276 6572 207b 0a20 2070  rsh-server {.  p
│ │ │ +001e4db0: 6163 6b61 6765 207b 2027 7273 682d 7365  ackage { 'rsh-se
│ │ │ +001e4dc0: 7276 6572 273a 0a20 2020 2065 6e73 7572  rver':.    ensur
│ │ │ +001e4dd0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +001e4de0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  001e4df0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  001e4e00: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  001e4e10: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  001e4e20: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  001e4e30: 2d69 643d 2278 6363 6466 5f6f 7267 2e73  -id="xccdf_org.s
│ │ │  001e4e40: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │  001e4e50: 745f 7275 6c65 5f70 6163 6b61 6765 5f72  t_rule_package_r
│ │ │ @@ -124306,139 +124306,139 @@
│ │ │  001e5910: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  001e5920: 3d22 2369 646d 3231 3136 3922 2074 6162  ="#idm21169" tab
│ │ │  001e5930: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  001e5940: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  001e5950: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  001e5960: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  001e5970: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001e5980: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -001e5990: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -001e59a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001e59b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001e59c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001e59d0: 3d22 6964 6d32 3131 3639 223e 3c74 6162  ="idm21169"><tab
│ │ │ -001e59e0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001e59f0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001e5a00: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001e5a10: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001e5a20: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001e5a30: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001e5a40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001e5a50: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001e5a60: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001e5a70: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001e5a80: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001e5a90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001e5aa0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001e5ab0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001e5ac0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001e5ad0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -001e5ae0: 6f76 655f 7273 680a 0a63 6c61 7373 2072  ove_rsh..class r
│ │ │ -001e5af0: 656d 6f76 655f 7273 6820 7b0a 2020 7061  emove_rsh {.  pa
│ │ │ -001e5b00: 636b 6167 6520 7b20 2772 7368 273a 0a20  ckage { 'rsh':. 
│ │ │ -001e5b10: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -001e5b20: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -001e5b30: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -001e5b40: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -001e5b50: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -001e5b60: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -001e5b70: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -001e5b80: 3d22 2369 646d 3231 3137 3022 2074 6162  ="#idm21170" tab
│ │ │ -001e5b90: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -001e5ba0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -001e5bb0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -001e5bc0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -001e5bd0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001e5be0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -001e5bf0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -001e5c00: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001e5c10: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001e5c20: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001e5c30: 643d 2269 646d 3231 3137 3022 3e3c 7461  d="idm21170"><ta
│ │ │ -001e5c40: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001e5c50: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001e5c60: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001e5c70: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001e5c80: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001e5c90: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001e5ca0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001e5cb0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001e5cc0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001e5cd0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001e5ce0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001e5cf0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001e5d00: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001e5d10: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -001e5d20: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -001e5d30: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -001e5d40: 7375 7265 2072 7368 2069 7320 7265 6d6f  sure rsh is remo
│ │ │ -001e5d50: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -001e5d60: 2020 206e 616d 653a 2072 7368 0a20 2020     name: rsh.   
│ │ │ -001e5d70: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -001e5d80: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -001e5d90: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ -001e5da0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001e5db0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001e5dc0: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -001e5dd0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001e5de0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001e5df0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001e5e00: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -001e5e10: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -001e5e20: 5f72 7368 5f72 656d 6f76 6564 0a20 202d  _rsh_removed.  -
│ │ │ -001e5e30: 2075 6e6b 6e6f 776e 5f73 6576 6572 6974   unknown_severit
│ │ │ -001e5e40: 790a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  y.</code></pre><
│ │ │ -001e5e50: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -001e5e60: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001e5e70: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001e5e80: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001e5e90: 6574 3d22 2369 646d 3231 3137 3122 2074  et="#idm21171" t
│ │ │ -001e5ea0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001e5eb0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001e5ec0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -001e5ed0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -001e5ee0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -001e5ef0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001e5f00: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -001e5f10: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001e5f20: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001e5f30: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001e5f40: 3d22 6964 6d32 3131 3731 223e 3c74 6162  ="idm21171"><tab
│ │ │ -001e5f50: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001e5f60: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001e5f70: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001e5f80: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001e5f90: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001e5fa0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001e5fb0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001e5fc0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001e5fd0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001e5fe0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001e5ff0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001e6000: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001e6010: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001e6020: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001e6030: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001e6040: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ -001e6050: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ -001e6060: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ -001e6070: 6d6f 7665 2072 7368 0a23 0920 2020 6672  move rsh.#.   fr
│ │ │ -001e6080: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ -001e6090: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ -001e60a0: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ -001e60b0: 7468 6174 2064 6570 656e 6420 6f6e 2072  that depend on r
│ │ │ -001e60c0: 7368 2e20 4578 6563 7574 6520 7468 6973  sh. Execute this
│ │ │ -001e60d0: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ -001e60e0: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ -001e60f0: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ -001e6100: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ -001e6110: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -001e6120: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -001e6130: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ -001e6140: 2d79 2022 7273 6822 0a3c 2f63 6f64 653e  -y "rsh".</code>
│ │ │ +001e5980: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +001e5990: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +001e59a0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001e59b0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001e59c0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001e59d0: 643d 2269 646d 3231 3136 3922 3e3c 7461  d="idm21169"><ta
│ │ │ +001e59e0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001e59f0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001e5a00: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001e5a10: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001e5a20: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001e5a30: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001e5a40: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001e5a50: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001e5a60: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001e5a70: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001e5a80: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001e5a90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001e5aa0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001e5ab0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001e5ac0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001e5ad0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +001e5ae0: 7375 7265 2072 7368 2069 7320 7265 6d6f  sure rsh is remo
│ │ │ +001e5af0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +001e5b00: 2020 206e 616d 653a 2072 7368 0a20 2020     name: rsh.   
│ │ │ +001e5b10: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +001e5b20: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +001e5b30: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ +001e5b40: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001e5b50: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +001e5b60: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ +001e5b70: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +001e5b80: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +001e5b90: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +001e5ba0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001e5bb0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +001e5bc0: 5f72 7368 5f72 656d 6f76 6564 0a20 202d  _rsh_removed.  -
│ │ │ +001e5bd0: 2075 6e6b 6e6f 776e 5f73 6576 6572 6974   unknown_severit
│ │ │ +001e5be0: 790a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  y.</code></pre><
│ │ │ +001e5bf0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +001e5c00: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +001e5c10: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +001e5c20: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +001e5c30: 6574 3d22 2369 646d 3231 3137 3022 2074  et="#idm21170" t
│ │ │ +001e5c40: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +001e5c50: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +001e5c60: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +001e5c70: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +001e5c80: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +001e5c90: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +001e5ca0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +001e5cb0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +001e5cc0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +001e5cd0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +001e5ce0: 3d22 6964 6d32 3131 3730 223e 3c74 6162  ="idm21170"><tab
│ │ │ +001e5cf0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +001e5d00: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +001e5d10: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +001e5d20: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +001e5d30: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +001e5d40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001e5d50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +001e5d60: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +001e5d70: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001e5d80: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +001e5d90: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +001e5da0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +001e5db0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +001e5dc0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +001e5dd0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +001e5de0: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ +001e5df0: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ +001e5e00: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ +001e5e10: 6d6f 7665 2072 7368 0a23 0920 2020 6672  move rsh.#.   fr
│ │ │ +001e5e20: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +001e5e30: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +001e5e40: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +001e5e50: 7468 6174 2064 6570 656e 6420 6f6e 2072  that depend on r
│ │ │ +001e5e60: 7368 2e20 4578 6563 7574 6520 7468 6973  sh. Execute this
│ │ │ +001e5e70: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ +001e5e80: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ +001e5e90: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ +001e5ea0: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ +001e5eb0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +001e5ec0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +001e5ed0: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ +001e5ee0: 2d79 2022 7273 6822 0a3c 2f63 6f64 653e  -y "rsh".</code>
│ │ │ +001e5ef0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001e5f00: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001e5f10: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001e5f20: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001e5f30: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001e5f40: 3131 3731 2220 7461 6269 6e64 6578 3d22  1171" tabindex="
│ │ │ +001e5f50: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001e5f60: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001e5f70: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001e5f80: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001e5f90: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001e5fa0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +001e5fb0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001e5fc0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001e5fd0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001e5fe0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001e5ff0: 3137 3122 3e3c 7461 626c 6520 636c 6173  171"><table clas
│ │ │ +001e6000: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001e6010: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001e6020: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001e6030: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001e6040: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001e6050: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001e6060: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001e6070: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001e6080: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e6090: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001e60a0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001e60b0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001e60c0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001e60d0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001e60e0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +001e60f0: 636c 7564 6520 7265 6d6f 7665 5f72 7368  clude remove_rsh
│ │ │ +001e6100: 0a0a 636c 6173 7320 7265 6d6f 7665 5f72  ..class remove_r
│ │ │ +001e6110: 7368 207b 0a20 2070 6163 6b61 6765 207b  sh {.  package {
│ │ │ +001e6120: 2027 7273 6827 3a0a 2020 2020 656e 7375   'rsh':.    ensu
│ │ │ +001e6130: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +001e6140: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  001e6150: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  001e6160: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  001e6170: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  001e6180: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  001e6190: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  001e61a0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  001e61b0: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -124645,142 +124645,142 @@
│ │ │  001e6e40: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  001e6e50: 6d32 3133 3036 2220 7461 6269 6e64 6578  m21306" tabindex
│ │ │  001e6e60: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  001e6e70: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  001e6e80: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  001e6e90: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  001e6ea0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001e6eb0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -001e6ec0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -001e6ed0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001e6ee0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001e6ef0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001e6f00: 3231 3330 3622 3e3c 7461 626c 6520 636c  21306"><table cl
│ │ │ -001e6f10: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -001e6f20: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -001e6f30: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -001e6f40: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -001e6f50: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -001e6f60: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001e6f70: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -001e6f80: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -001e6f90: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001e6fa0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -001e6fb0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -001e6fc0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -001e6fd0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -001e6fe0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001e6ff0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001e7000: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ -001e7010: 616c 6b2d 7365 7276 6572 0a0a 636c 6173  alk-server..clas
│ │ │ -001e7020: 7320 7265 6d6f 7665 5f74 616c 6b2d 7365  s remove_talk-se
│ │ │ -001e7030: 7276 6572 207b 0a20 2070 6163 6b61 6765  rver {.  package
│ │ │ -001e7040: 207b 2027 7461 6c6b 2d73 6572 7665 7227   { 'talk-server'
│ │ │ -001e7050: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -001e7060: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -001e7070: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -001e7080: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -001e7090: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -001e70a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -001e70b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -001e70c0: 6765 743d 2223 6964 6d32 3133 3037 2220  get="#idm21307" 
│ │ │ -001e70d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -001e70e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -001e70f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -001e7100: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -001e7110: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -001e7120: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001e7130: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -001e7140: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -001e7150: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -001e7160: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -001e7170: 2220 6964 3d22 6964 6d32 3133 3037 223e  " id="idm21307">
│ │ │ -001e7180: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -001e7190: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -001e71a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -001e71b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -001e71c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -001e71d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -001e71e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001e71f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -001e7200: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001e7210: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -001e7220: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -001e7230: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -001e7240: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -001e7250: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -001e7260: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -001e7270: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -001e7280: 2045 6e73 7572 6520 7461 6c6b 2d73 6572   Ensure talk-ser
│ │ │ -001e7290: 7665 7220 6973 2072 656d 6f76 6564 0a20  ver is removed. 
│ │ │ -001e72a0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -001e72b0: 6d65 3a20 7461 6c6b 2d73 6572 7665 720a  me: talk-server.
│ │ │ -001e72c0: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -001e72d0: 740a 2020 7461 6773 3a0a 2020 2d20 5043  t.  tags:.  - PC
│ │ │ -001e72e0: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -001e72f0: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -001e7300: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -001e7310: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -001e7320: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -001e7330: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -001e7340: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -001e7350: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -001e7360: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -001e7370: 7461 6c6b 2d73 6572 7665 725f 7265 6d6f  talk-server_remo
│ │ │ -001e7380: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ -001e7390: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -001e73a0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -001e73b0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -001e73c0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -001e73d0: 7267 6574 3d22 2369 646d 3231 3330 3822  rget="#idm21308"
│ │ │ -001e73e0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -001e73f0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -001e7400: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -001e7410: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -001e7420: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -001e7430: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -001e7440: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ -001e7450: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -001e7460: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -001e7470: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -001e7480: 6964 3d22 6964 6d32 3133 3038 223e 3c74  id="idm21308"><t
│ │ │ -001e7490: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -001e74a0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -001e74b0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -001e74c0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -001e74d0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -001e74e0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -001e74f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001e7500: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -001e7510: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001e7520: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -001e7530: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -001e7540: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001e7550: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -001e7560: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -001e7570: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -001e7580: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ -001e7590: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ -001e75a0: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ -001e75b0: 7265 6d6f 7665 2074 616c 6b2d 7365 7276  remove talk-serv
│ │ │ -001e75c0: 6572 0a23 0920 2020 6672 6f6d 2074 6865  er.#.   from the
│ │ │ -001e75d0: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -001e75e0: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -001e75f0: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -001e7600: 6570 656e 6420 6f6e 2074 616c 6b2d 7365  epend on talk-se
│ │ │ -001e7610: 7276 6572 2e20 4578 6563 7574 6520 7468  rver. Execute th
│ │ │ -001e7620: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ -001e7630: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ -001e7640: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ -001e7650: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ -001e7660: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ -001e7670: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -001e7680: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ -001e7690: 6520 2d79 2022 7461 6c6b 2d73 6572 7665  e -y "talk-serve
│ │ │ -001e76a0: 7222 0a3c 2f63 6f64 653e 3c2f 7072 653e  r".</code></pre>
│ │ │ +001e6eb0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +001e6ec0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +001e6ed0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001e6ee0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001e6ef0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001e6f00: 6d32 3133 3036 223e 3c74 6162 6c65 2063  m21306"><table c
│ │ │ +001e6f10: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +001e6f20: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +001e6f30: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +001e6f40: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +001e6f50: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +001e6f60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001e6f70: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +001e6f80: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +001e6f90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001e6fa0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +001e6fb0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +001e6fc0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +001e6fd0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +001e6fe0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001e6ff0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001e7000: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +001e7010: 7461 6c6b 2d73 6572 7665 7220 6973 2072  talk-server is r
│ │ │ +001e7020: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ +001e7030: 3a0a 2020 2020 6e61 6d65 3a20 7461 6c6b  :.    name: talk
│ │ │ +001e7040: 2d73 6572 7665 720a 2020 2020 7374 6174  -server.    stat
│ │ │ +001e7050: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +001e7060: 3a0a 2020 2d20 5043 492d 4453 5376 342d  :.  - PCI-DSSv4-
│ │ │ +001e7070: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +001e7080: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ +001e7090: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +001e70a0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +001e70b0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +001e70c0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +001e70d0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +001e70e0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +001e70f0: 7061 636b 6167 655f 7461 6c6b 2d73 6572  package_talk-ser
│ │ │ +001e7100: 7665 725f 7265 6d6f 7665 640a 3c2f 636f  ver_removed.</co
│ │ │ +001e7110: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +001e7120: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +001e7130: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +001e7140: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +001e7150: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +001e7160: 646d 3231 3330 3722 2074 6162 696e 6465  dm21307" tabinde
│ │ │ +001e7170: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +001e7180: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +001e7190: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +001e71a0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +001e71b0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +001e71c0: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ +001e71d0: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ +001e71e0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +001e71f0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +001e7200: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +001e7210: 3133 3037 223e 3c74 6162 6c65 2063 6c61  1307"><table cla
│ │ │ +001e7220: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +001e7230: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +001e7240: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +001e7250: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +001e7260: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +001e7270: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001e7280: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +001e7290: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +001e72a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001e72b0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +001e72c0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +001e72d0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +001e72e0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +001e72f0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +001e7300: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ +001e7310: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ +001e7320: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ +001e7330: 7074 2077 696c 6c20 7265 6d6f 7665 2074  pt will remove t
│ │ │ +001e7340: 616c 6b2d 7365 7276 6572 0a23 0920 2020  alk-server.#.   
│ │ │ +001e7350: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ +001e7360: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ +001e7370: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ +001e7380: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ +001e7390: 2074 616c 6b2d 7365 7276 6572 2e20 4578   talk-server. Ex
│ │ │ +001e73a0: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ +001e73b0: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ +001e73c0: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ +001e73d0: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ +001e73e0: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ +001e73f0: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +001e7400: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +001e7410: 6574 2072 656d 6f76 6520 2d79 2022 7461  et remove -y "ta
│ │ │ +001e7420: 6c6b 2d73 6572 7665 7222 0a3c 2f63 6f64  lk-server".</cod
│ │ │ +001e7430: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +001e7440: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +001e7450: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +001e7460: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +001e7470: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +001e7480: 6d32 3133 3038 2220 7461 6269 6e64 6578  m21308" tabindex
│ │ │ +001e7490: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +001e74a0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +001e74b0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +001e74c0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +001e74d0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +001e74e0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +001e74f0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001e7500: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001e7510: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001e7520: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001e7530: 3231 3330 3822 3e3c 7461 626c 6520 636c  21308"><table cl
│ │ │ +001e7540: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001e7550: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001e7560: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001e7570: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001e7580: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001e7590: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001e75a0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001e75b0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001e75c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001e75d0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001e75e0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001e75f0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001e7600: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +001e7610: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001e7620: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001e7630: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ +001e7640: 616c 6b2d 7365 7276 6572 0a0a 636c 6173  alk-server..clas
│ │ │ +001e7650: 7320 7265 6d6f 7665 5f74 616c 6b2d 7365  s remove_talk-se
│ │ │ +001e7660: 7276 6572 207b 0a20 2070 6163 6b61 6765  rver {.  package
│ │ │ +001e7670: 207b 2027 7461 6c6b 2d73 6572 7665 7227   { 'talk-server'
│ │ │ +001e7680: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +001e7690: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +001e76a0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  001e76b0: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  001e76c0: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  001e76d0: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  001e76e0: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  001e76f0: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  001e7700: 6a65 6374 2e63 6f6e 7465 6e74 5f72 756c  ject.content_rul
│ │ │  001e7710: 655f 7061 636b 6167 655f 7461 6c6b 5f72  e_package_talk_r
│ │ │ @@ -124945,137 +124945,137 @@
│ │ │  001e8100: 6765 743d 2223 6964 6d32 3133 3330 2220  get="#idm21330" 
│ │ │  001e8110: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001e8120: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  001e8130: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  001e8140: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  001e8150: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  001e8160: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001e8170: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -001e8180: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -001e8190: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -001e81a0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -001e81b0: 2069 643d 2269 646d 3231 3333 3022 3e3c   id="idm21330"><
│ │ │ -001e81c0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -001e81d0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -001e81e0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -001e81f0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -001e8200: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001e8210: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001e8220: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e8230: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001e8240: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001e8250: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001e8260: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -001e8270: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e8280: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -001e8290: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -001e82a0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -001e82b0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -001e82c0: 7265 6d6f 7665 5f74 616c 6b0a 0a63 6c61  remove_talk..cla
│ │ │ -001e82d0: 7373 2072 656d 6f76 655f 7461 6c6b 207b  ss remove_talk {
│ │ │ -001e82e0: 0a20 2070 6163 6b61 6765 207b 2027 7461  .  package { 'ta
│ │ │ -001e82f0: 6c6b 273a 0a20 2020 2065 6e73 7572 6520  lk':.    ensure 
│ │ │ -001e8300: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -001e8310: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -001e8320: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -001e8330: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -001e8340: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -001e8350: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -001e8360: 7461 7267 6574 3d22 2369 646d 3231 3333  target="#idm2133
│ │ │ -001e8370: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ -001e8380: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -001e8390: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -001e83a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -001e83b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -001e83c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001e83d0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -001e83e0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -001e83f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001e8400: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001e8410: 7073 6522 2069 643d 2269 646d 3231 3333  pse" id="idm2133
│ │ │ -001e8420: 3122 3e3c 7461 626c 6520 636c 6173 733d  1"><table class=
│ │ │ -001e8430: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001e8440: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001e8450: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001e8460: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001e8470: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001e8480: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001e8490: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -001e84a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001e84b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -001e84c0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -001e84d0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -001e84e0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -001e84f0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -001e8500: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001e8510: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001e8520: 6d65 3a20 456e 7375 7265 2074 616c 6b20  me: Ensure talk 
│ │ │ -001e8530: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -001e8540: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -001e8550: 7461 6c6b 0a20 2020 2073 7461 7465 3a20  talk.    state: 
│ │ │ -001e8560: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -001e8570: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001e8580: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001e8590: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -001e85a0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001e85b0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001e85c0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001e85d0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -001e85e0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001e85f0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -001e8600: 6b61 6765 5f74 616c 6b5f 7265 6d6f 7665  kage_talk_remove
│ │ │ -001e8610: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -001e8620: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -001e8630: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001e8640: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001e8650: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001e8660: 6574 3d22 2369 646d 3231 3333 3222 2074  et="#idm21332" t
│ │ │ -001e8670: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001e8680: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001e8690: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -001e86a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -001e86b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -001e86c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001e86d0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -001e86e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001e86f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001e8700: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001e8710: 3d22 6964 6d32 3133 3332 223e 3c74 6162  ="idm21332"><tab
│ │ │ -001e8720: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001e8730: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001e8740: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001e8750: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001e8760: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001e8770: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001e8780: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001e8790: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001e87a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001e87b0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001e87c0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001e87d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001e87e0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001e87f0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001e8800: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001e8810: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ -001e8820: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ -001e8830: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ -001e8840: 6d6f 7665 2074 616c 6b0a 2309 2020 2066  move talk.#.   f
│ │ │ -001e8850: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ -001e8860: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ -001e8870: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ -001e8880: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ -001e8890: 7461 6c6b 2e20 4578 6563 7574 6520 7468  talk. Execute th
│ │ │ -001e88a0: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ -001e88b0: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ -001e88c0: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ -001e88d0: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ -001e88e0: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ -001e88f0: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -001e8900: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ -001e8910: 6520 2d79 2022 7461 6c6b 220a 3c2f 636f  e -y "talk".</co
│ │ │ +001e8170: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +001e8180: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001e8190: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001e81a0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001e81b0: 2220 6964 3d22 6964 6d32 3133 3330 223e  " id="idm21330">
│ │ │ +001e81c0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001e81d0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001e81e0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001e81f0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001e8200: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001e8210: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001e8220: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001e8230: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001e8240: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001e8250: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001e8260: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001e8270: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001e8280: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001e8290: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +001e82a0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +001e82b0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +001e82c0: 2045 6e73 7572 6520 7461 6c6b 2069 7320   Ensure talk is 
│ │ │ +001e82d0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ +001e82e0: 653a 0a20 2020 206e 616d 653a 2074 616c  e:.    name: tal
│ │ │ +001e82f0: 6b0a 2020 2020 7374 6174 653a 2061 6273  k.    state: abs
│ │ │ +001e8300: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +001e8310: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001e8320: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001e8330: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ +001e8340: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +001e8350: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +001e8360: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +001e8370: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +001e8380: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001e8390: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001e83a0: 655f 7461 6c6b 5f72 656d 6f76 6564 0a3c  e_talk_removed.<
│ │ │ +001e83b0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001e83c0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001e83d0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001e83e0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001e83f0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001e8400: 2223 6964 6d32 3133 3331 2220 7461 6269  "#idm21331" tabi
│ │ │ +001e8410: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001e8420: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001e8430: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001e8440: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001e8450: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001e8460: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +001e8470: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +001e8480: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001e8490: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001e84a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001e84b0: 646d 3231 3333 3122 3e3c 7461 626c 6520  dm21331"><table 
│ │ │ +001e84c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001e84d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001e84e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001e84f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001e8500: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001e8510: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001e8520: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001e8530: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001e8540: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001e8550: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001e8560: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001e8570: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001e8580: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001e8590: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001e85a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001e85b0: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ +001e85c0: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ +001e85d0: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ +001e85e0: 6520 7461 6c6b 0a23 0920 2020 6672 6f6d  e talk.#.   from
│ │ │ +001e85f0: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +001e8600: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +001e8610: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +001e8620: 6174 2064 6570 656e 6420 6f6e 2074 616c  at depend on tal
│ │ │ +001e8630: 6b2e 2045 7865 6375 7465 2074 6869 730a  k. Execute this.
│ │ │ +001e8640: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +001e8650: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +001e8660: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +001e8670: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +001e8680: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +001e8690: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +001e86a0: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +001e86b0: 7920 2274 616c 6b22 0a3c 2f63 6f64 653e  y "talk".</code>
│ │ │ +001e86c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001e86d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001e86e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001e86f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001e8700: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001e8710: 3133 3332 2220 7461 6269 6e64 6578 3d22  1332" tabindex="
│ │ │ +001e8720: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001e8730: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001e8740: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001e8750: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001e8760: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001e8770: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +001e8780: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001e8790: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001e87a0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001e87b0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001e87c0: 3333 3222 3e3c 7461 626c 6520 636c 6173  332"><table clas
│ │ │ +001e87d0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001e87e0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001e87f0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001e8800: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001e8810: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001e8820: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001e8830: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001e8840: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001e8850: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e8860: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001e8870: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001e8880: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001e8890: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001e88a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001e88b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +001e88c0: 636c 7564 6520 7265 6d6f 7665 5f74 616c  clude remove_tal
│ │ │ +001e88d0: 6b0a 0a63 6c61 7373 2072 656d 6f76 655f  k..class remove_
│ │ │ +001e88e0: 7461 6c6b 207b 0a20 2070 6163 6b61 6765  talk {.  package
│ │ │ +001e88f0: 207b 2027 7461 6c6b 273a 0a20 2020 2065   { 'talk':.    e
│ │ │ +001e8900: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +001e8910: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  001e8920: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  001e8930: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  001e8940: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  001e8950: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  001e8960: 612d 7474 2d69 643d 2263 6869 6c64 7265  a-tt-id="childre
│ │ │  001e8970: 6e2d 7863 6364 665f 6f72 672e 7373 6770  n-xccdf_org.ssgp
│ │ │  001e8980: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f67  roject.content_g
│ │ │ @@ -125445,149 +125445,149 @@
│ │ │  001ea040: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  001ea050: 3d22 2369 646d 3231 3435 3122 2074 6162  ="#idm21451" tab
│ │ │  001ea060: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  001ea070: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  001ea080: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  001ea090: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  001ea0a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001ea0b0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -001ea0c0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -001ea0d0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001ea0e0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001ea0f0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001ea100: 3d22 6964 6d32 3134 3531 223e 3c74 6162  ="idm21451"><tab
│ │ │ -001ea110: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001ea120: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001ea130: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001ea140: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001ea150: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001ea160: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001ea170: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001ea180: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001ea190: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001ea1a0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001ea1b0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001ea1c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001ea1d0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001ea1e0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001ea1f0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001ea200: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -001ea210: 6f76 655f 7465 6c6e 6574 2d73 6572 7665  ove_telnet-serve
│ │ │ -001ea220: 720a 0a63 6c61 7373 2072 656d 6f76 655f  r..class remove_
│ │ │ -001ea230: 7465 6c6e 6574 2d73 6572 7665 7220 7b0a  telnet-server {.
│ │ │ -001ea240: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ -001ea250: 6e65 742d 7365 7276 6572 273a 0a20 2020  net-server':.   
│ │ │ -001ea260: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -001ea270: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -001ea280: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -001ea290: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -001ea2a0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -001ea2b0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -001ea2c0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -001ea2d0: 2369 646d 3231 3435 3222 2074 6162 696e  #idm21452" tabin
│ │ │ -001ea2e0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -001ea2f0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -001ea300: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -001ea310: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -001ea320: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001ea330: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -001ea340: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -001ea350: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001ea360: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001ea370: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001ea380: 2269 646d 3231 3435 3222 3e3c 7461 626c  "idm21452"><tabl
│ │ │ -001ea390: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001ea3a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001ea3b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001ea3c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001ea3d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001ea3e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001ea3f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001ea400: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001ea410: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001ea420: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001ea430: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001ea440: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001ea450: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001ea460: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001ea470: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001ea480: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -001ea490: 7265 2074 656c 6e65 742d 7365 7276 6572  re telnet-server
│ │ │ -001ea4a0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001ea4b0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001ea4c0: 2074 656c 6e65 742d 7365 7276 6572 0a20   telnet-server. 
│ │ │ -001ea4d0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ -001ea4e0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -001ea4f0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -001ea500: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -001ea510: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ -001ea520: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ -001ea530: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -001ea540: 2d32 2e32 2e32 0a20 202d 2050 4349 2d44  -2.2.2.  - PCI-D
│ │ │ -001ea550: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -001ea560: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ -001ea570: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -001ea580: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -001ea590: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -001ea5a0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001ea5b0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -001ea5c0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -001ea5d0: 202d 2070 6163 6b61 6765 5f74 656c 6e65   - package_telne
│ │ │ -001ea5e0: 742d 7365 7276 6572 5f72 656d 6f76 6564  t-server_removed
│ │ │ -001ea5f0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -001ea600: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -001ea610: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -001ea620: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -001ea630: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -001ea640: 743d 2223 6964 6d32 3134 3533 2220 7461  t="#idm21453" ta
│ │ │ -001ea650: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -001ea660: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -001ea670: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -001ea680: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -001ea690: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -001ea6a0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -001ea6b0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -001ea6c0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001ea6d0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001ea6e0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001ea6f0: 2269 646d 3231 3435 3322 3e3c 7461 626c  "idm21453"><tabl
│ │ │ -001ea700: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001ea710: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001ea720: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001ea730: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001ea740: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001ea750: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001ea760: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001ea770: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001ea780: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001ea790: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001ea7a0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001ea7b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001ea7c0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001ea7d0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001ea7e0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001ea7f0: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -001ea800: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -001ea810: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -001ea820: 6f76 6520 7465 6c6e 6574 2d73 6572 7665  ove telnet-serve
│ │ │ -001ea830: 720a 2309 2020 2066 726f 6d20 7468 6520  r.#.   from the 
│ │ │ -001ea840: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ -001ea850: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ -001ea860: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ -001ea870: 7065 6e64 206f 6e20 7465 6c6e 6574 2d73  pend on telnet-s
│ │ │ -001ea880: 6572 7665 722e 2045 7865 6375 7465 2074  erver. Execute t
│ │ │ -001ea890: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ -001ea8a0: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ -001ea8b0: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ -001ea8c0: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ -001ea8d0: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ -001ea8e0: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -001ea8f0: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ -001ea900: 7665 202d 7920 2274 656c 6e65 742d 7365  ve -y "telnet-se
│ │ │ -001ea910: 7276 6572 220a 3c2f 636f 6465 3e3c 2f70  rver".</code></p
│ │ │ +001ea0b0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +001ea0c0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +001ea0d0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001ea0e0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001ea0f0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001ea100: 643d 2269 646d 3231 3435 3122 3e3c 7461  d="idm21451"><ta
│ │ │ +001ea110: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001ea120: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001ea130: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001ea140: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001ea150: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001ea160: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001ea170: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001ea180: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001ea190: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001ea1a0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001ea1b0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001ea1c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001ea1d0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001ea1e0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001ea1f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001ea200: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +001ea210: 7375 7265 2074 656c 6e65 742d 7365 7276  sure telnet-serv
│ │ │ +001ea220: 6572 2069 7320 7265 6d6f 7665 640a 2020  er is removed.  
│ │ │ +001ea230: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001ea240: 653a 2074 656c 6e65 742d 7365 7276 6572  e: telnet-server
│ │ │ +001ea250: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +001ea260: 6e74 0a20 2074 6167 733a 0a20 202d 204e  nt.  tags:.  - N
│ │ │ +001ea270: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +001ea280: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001ea290: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ +001ea2a0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +001ea2b0: 6229 0a20 202d 2050 4349 2d44 5353 2d52  b).  - PCI-DSS-R
│ │ │ +001ea2c0: 6571 2d32 2e32 2e32 0a20 202d 2050 4349  eq-2.2.2.  - PCI
│ │ │ +001ea2d0: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +001ea2e0: 4349 2d44 5353 7634 2d32 2e32 2e34 0a20  CI-DSSv4-2.2.4. 
│ │ │ +001ea2f0: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +001ea300: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +001ea310: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +001ea320: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +001ea330: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +001ea340: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +001ea350: 0a20 202d 2070 6163 6b61 6765 5f74 656c  .  - package_tel
│ │ │ +001ea360: 6e65 742d 7365 7276 6572 5f72 656d 6f76  net-server_remov
│ │ │ +001ea370: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +001ea380: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +001ea390: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +001ea3a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +001ea3b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +001ea3c0: 6765 743d 2223 6964 6d32 3134 3532 2220  get="#idm21452" 
│ │ │ +001ea3d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +001ea3e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +001ea3f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +001ea400: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +001ea410: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +001ea420: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +001ea430: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +001ea440: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001ea450: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001ea460: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001ea470: 643d 2269 646d 3231 3435 3222 3e3c 7461  d="idm21452"><ta
│ │ │ +001ea480: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001ea490: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001ea4a0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001ea4b0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001ea4c0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001ea4d0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001ea4e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001ea4f0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001ea500: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001ea510: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001ea520: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001ea530: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001ea540: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001ea550: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001ea560: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001ea570: 3c63 6f64 653e 0a23 2043 4155 5449 4f4e  <code>.# CAUTION
│ │ │ +001ea580: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ +001ea590: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ +001ea5a0: 656d 6f76 6520 7465 6c6e 6574 2d73 6572  emove telnet-ser
│ │ │ +001ea5b0: 7665 720a 2309 2020 2066 726f 6d20 7468  ver.#.   from th
│ │ │ +001ea5c0: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ +001ea5d0: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ +001ea5e0: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ +001ea5f0: 6465 7065 6e64 206f 6e20 7465 6c6e 6574  depend on telnet
│ │ │ +001ea600: 2d73 6572 7665 722e 2045 7865 6375 7465  -server. Execute
│ │ │ +001ea610: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ +001ea620: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ +001ea630: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ +001ea640: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ +001ea650: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ +001ea660: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +001ea670: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ +001ea680: 6d6f 7665 202d 7920 2274 656c 6e65 742d  move -y "telnet-
│ │ │ +001ea690: 7365 7276 6572 220a 3c2f 636f 6465 3e3c  server".</code><
│ │ │ +001ea6a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +001ea6b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +001ea6c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +001ea6d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +001ea6e0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ +001ea6f0: 3435 3322 2074 6162 696e 6465 783d 2230  453" tabindex="0
│ │ │ +001ea700: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +001ea710: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +001ea720: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +001ea730: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +001ea740: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +001ea750: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +001ea760: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +001ea770: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +001ea780: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +001ea790: 6170 7365 2220 6964 3d22 6964 6d32 3134  apse" id="idm214
│ │ │ +001ea7a0: 3533 223e 3c74 6162 6c65 2063 6c61 7373  53"><table class
│ │ │ +001ea7b0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +001ea7c0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +001ea7d0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +001ea7e0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +001ea7f0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +001ea800: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001ea810: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +001ea820: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +001ea830: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001ea840: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +001ea850: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +001ea860: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +001ea870: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +001ea880: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +001ea890: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +001ea8a0: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ +001ea8b0: 6574 2d73 6572 7665 720a 0a63 6c61 7373  et-server..class
│ │ │ +001ea8c0: 2072 656d 6f76 655f 7465 6c6e 6574 2d73   remove_telnet-s
│ │ │ +001ea8d0: 6572 7665 7220 7b0a 2020 7061 636b 6167  erver {.  packag
│ │ │ +001ea8e0: 6520 7b20 2774 656c 6e65 742d 7365 7276  e { 'telnet-serv
│ │ │ +001ea8f0: 6572 273a 0a20 2020 2065 6e73 7572 6520  er':.    ensure 
│ │ │ +001ea900: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +001ea910: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  001ea920: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  001ea930: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  001ea940: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  001ea950: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  001ea960: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  001ea970: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  001ea980: 7275 6c65 5f70 6163 6b61 6765 5f74 656c  rule_package_tel
│ │ │ @@ -125756,140 +125756,140 @@
│ │ │  001eb3b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001eb3c0: 646d 3231 3438 3022 2074 6162 696e 6465  dm21480" tabinde
│ │ │  001eb3d0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001eb3e0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001eb3f0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001eb400: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001eb410: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001eb420: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -001eb430: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -001eb440: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001eb450: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001eb460: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001eb470: 6d32 3134 3830 223e 3c74 6162 6c65 2063  m21480"><table c
│ │ │ -001eb480: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001eb490: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001eb4a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001eb4b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001eb4c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001eb4d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001eb4e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001eb4f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001eb500: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001eb510: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001eb520: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001eb530: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001eb540: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001eb550: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001eb560: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001eb570: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -001eb580: 7465 6c6e 6574 0a0a 636c 6173 7320 7265  telnet..class re
│ │ │ -001eb590: 6d6f 7665 5f74 656c 6e65 7420 7b0a 2020  move_telnet {.  
│ │ │ -001eb5a0: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ -001eb5b0: 7427 3a0a 2020 2020 656e 7375 7265 203d  t':.    ensure =
│ │ │ -001eb5c0: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -001eb5d0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -001eb5e0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -001eb5f0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -001eb600: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -001eb610: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -001eb620: 6172 6765 743d 2223 6964 6d32 3134 3831  arget="#idm21481
│ │ │ -001eb630: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001eb640: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001eb650: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001eb660: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001eb670: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001eb680: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001eb690: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -001eb6a0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001eb6b0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001eb6c0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001eb6d0: 7365 2220 6964 3d22 6964 6d32 3134 3831  se" id="idm21481
│ │ │ -001eb6e0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001eb6f0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001eb700: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001eb710: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001eb720: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001eb730: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001eb740: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001eb750: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001eb760: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001eb770: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001eb780: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001eb790: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001eb7a0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001eb7b0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -001eb7c0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -001eb7d0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -001eb7e0: 653a 2045 6e73 7572 6520 7465 6c6e 6574  e: Ensure telnet
│ │ │ -001eb7f0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001eb800: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001eb810: 2074 656c 6e65 740a 2020 2020 7374 6174   telnet.    stat
│ │ │ -001eb820: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -001eb830: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ -001eb840: 3731 2d33 2e31 2e31 330a 2020 2d20 5043  71-3.1.13.  - PC
│ │ │ -001eb850: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -001eb860: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -001eb870: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -001eb880: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -001eb890: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -001eb8a0: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -001eb8b0: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -001eb8c0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -001eb8d0: 0a20 202d 2070 6163 6b61 6765 5f74 656c  .  - package_tel
│ │ │ -001eb8e0: 6e65 745f 7265 6d6f 7665 640a 3c2f 636f  net_removed.</co
│ │ │ -001eb8f0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -001eb900: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -001eb910: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -001eb920: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -001eb930: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -001eb940: 646d 3231 3438 3222 2074 6162 696e 6465  dm21482" tabinde
│ │ │ -001eb950: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -001eb960: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -001eb970: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -001eb980: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -001eb990: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001eb9a0: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -001eb9b0: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -001eb9c0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001eb9d0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001eb9e0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001eb9f0: 3134 3832 223e 3c74 6162 6c65 2063 6c61  1482"><table cla
│ │ │ -001eba00: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001eba10: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001eba20: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001eba30: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001eba40: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001eba50: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001eba60: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001eba70: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001eba80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001eba90: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001ebaa0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001ebab0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001ebac0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -001ebad0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -001ebae0: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ -001ebaf0: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ -001ebb00: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ -001ebb10: 7074 2077 696c 6c20 7265 6d6f 7665 2074  pt will remove t
│ │ │ -001ebb20: 656c 6e65 740a 2309 2020 2066 726f 6d20  elnet.#.   from 
│ │ │ -001ebb30: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -001ebb40: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -001ebb50: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -001ebb60: 7420 6465 7065 6e64 206f 6e20 7465 6c6e  t depend on teln
│ │ │ -001ebb70: 6574 2e20 4578 6563 7574 6520 7468 6973  et. Execute this
│ │ │ -001ebb80: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ -001ebb90: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ -001ebba0: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ -001ebbb0: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ -001ebbc0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -001ebbd0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -001ebbe0: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ -001ebbf0: 2d79 2022 7465 6c6e 6574 220a 3c2f 636f  -y "telnet".</co
│ │ │ +001eb420: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +001eb430: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +001eb440: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001eb450: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001eb460: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001eb470: 646d 3231 3438 3022 3e3c 7461 626c 6520  dm21480"><table 
│ │ │ +001eb480: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001eb490: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001eb4a0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001eb4b0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001eb4c0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001eb4d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001eb4e0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001eb4f0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001eb500: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001eb510: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001eb520: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001eb530: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001eb540: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001eb550: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001eb560: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001eb570: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +001eb580: 2074 656c 6e65 7420 6973 2072 656d 6f76   telnet is remov
│ │ │ +001eb590: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +001eb5a0: 2020 6e61 6d65 3a20 7465 6c6e 6574 0a20    name: telnet. 
│ │ │ +001eb5b0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +001eb5c0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +001eb5d0: 542d 3830 302d 3137 312d 332e 312e 3133  T-800-171-3.1.13
│ │ │ +001eb5e0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +001eb5f0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ +001eb600: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ +001eb610: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +001eb620: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +001eb630: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +001eb640: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +001eb650: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001eb660: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +001eb670: 6167 655f 7465 6c6e 6574 5f72 656d 6f76  age_telnet_remov
│ │ │ +001eb680: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +001eb690: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +001eb6a0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +001eb6b0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +001eb6c0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +001eb6d0: 6765 743d 2223 6964 6d32 3134 3831 2220  get="#idm21481" 
│ │ │ +001eb6e0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +001eb6f0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +001eb700: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +001eb710: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +001eb720: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +001eb730: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +001eb740: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +001eb750: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001eb760: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001eb770: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001eb780: 643d 2269 646d 3231 3438 3122 3e3c 7461  d="idm21481"><ta
│ │ │ +001eb790: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001eb7a0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001eb7b0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001eb7c0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001eb7d0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001eb7e0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001eb7f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001eb800: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001eb810: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001eb820: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001eb830: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001eb840: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001eb850: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001eb860: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001eb870: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001eb880: 3c63 6f64 653e 0a23 2043 4155 5449 4f4e  <code>.# CAUTION
│ │ │ +001eb890: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ +001eb8a0: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ +001eb8b0: 656d 6f76 6520 7465 6c6e 6574 0a23 0920  emove telnet.#. 
│ │ │ +001eb8c0: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ +001eb8d0: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ +001eb8e0: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ +001eb8f0: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ +001eb900: 6f6e 2074 656c 6e65 742e 2045 7865 6375  on telnet. Execu
│ │ │ +001eb910: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ +001eb920: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ +001eb930: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ +001eb940: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ +001eb950: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ +001eb960: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +001eb970: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +001eb980: 7265 6d6f 7665 202d 7920 2274 656c 6e65  remove -y "telne
│ │ │ +001eb990: 7422 0a3c 2f63 6f64 653e 3c2f 7072 653e  t".</code></pre>
│ │ │ +001eb9a0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +001eb9b0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +001eb9c0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +001eb9d0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +001eb9e0: 6765 743d 2223 6964 6d32 3134 3832 2220  get="#idm21482" 
│ │ │ +001eb9f0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +001eba00: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +001eba10: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +001eba20: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +001eba30: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +001eba40: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +001eba50: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +001eba60: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001eba70: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001eba80: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001eba90: 2069 643d 2269 646d 3231 3438 3222 3e3c   id="idm21482"><
│ │ │ +001ebaa0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001ebab0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001ebac0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001ebad0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001ebae0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001ebaf0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001ebb00: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001ebb10: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001ebb20: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001ebb30: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001ebb40: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001ebb50: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001ebb60: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001ebb70: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001ebb80: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001ebb90: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +001ebba0: 7265 6d6f 7665 5f74 656c 6e65 740a 0a63  remove_telnet..c
│ │ │ +001ebbb0: 6c61 7373 2072 656d 6f76 655f 7465 6c6e  lass remove_teln
│ │ │ +001ebbc0: 6574 207b 0a20 2070 6163 6b61 6765 207b  et {.  package {
│ │ │ +001ebbd0: 2027 7465 6c6e 6574 273a 0a20 2020 2065   'telnet':.    e
│ │ │ +001ebbe0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +001ebbf0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  001ebc00: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  001ebc10: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  001ebc20: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  001ebc30: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  001ebc40: 612d 7474 2d69 643d 2263 6869 6c64 7265  a-tt-id="childre
│ │ │  001ebc50: 6e2d 7863 6364 665f 6f72 672e 7373 6770  n-xccdf_org.ssgp
│ │ │  001ebc60: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f67  roject.content_g
│ │ │ @@ -126224,146 +126224,146 @@
│ │ │  001ed0f0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  001ed100: 3539 3422 2074 6162 696e 6465 783d 2230  594" tabindex="0
│ │ │  001ed110: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  001ed120: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  001ed130: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  001ed140: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  001ed150: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001ed160: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -001ed170: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001ed180: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001ed190: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001ed1a0: 6170 7365 2220 6964 3d22 6964 6d32 3135  apse" id="idm215
│ │ │ -001ed1b0: 3934 223e 3c74 6162 6c65 2063 6c61 7373  94"><table class
│ │ │ -001ed1c0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001ed1d0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001ed1e0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001ed1f0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001ed200: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001ed210: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001ed220: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001ed230: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001ed240: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001ed250: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001ed260: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001ed270: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001ed280: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -001ed290: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -001ed2a0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -001ed2b0: 6c75 6465 2072 656d 6f76 655f 7466 7470  lude remove_tftp
│ │ │ -001ed2c0: 2d73 6572 7665 720a 0a63 6c61 7373 2072  -server..class r
│ │ │ -001ed2d0: 656d 6f76 655f 7466 7470 2d73 6572 7665  emove_tftp-serve
│ │ │ -001ed2e0: 7220 7b0a 2020 7061 636b 6167 6520 7b20  r {.  package { 
│ │ │ -001ed2f0: 2774 6674 702d 7365 7276 6572 273a 0a20  'tftp-server':. 
│ │ │ -001ed300: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -001ed310: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -001ed320: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -001ed330: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -001ed340: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -001ed350: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -001ed360: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -001ed370: 3d22 2369 646d 3231 3539 3522 2074 6162  ="#idm21595" tab
│ │ │ -001ed380: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -001ed390: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -001ed3a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -001ed3b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -001ed3c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001ed3d0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -001ed3e0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -001ed3f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001ed400: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001ed410: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001ed420: 643d 2269 646d 3231 3539 3522 3e3c 7461  d="idm21595"><ta
│ │ │ -001ed430: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001ed440: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001ed450: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001ed460: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001ed470: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001ed480: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001ed490: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001ed4a0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001ed4b0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001ed4c0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001ed4d0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001ed4e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001ed4f0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001ed500: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -001ed510: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -001ed520: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -001ed530: 7375 7265 2074 6674 702d 7365 7276 6572  sure tftp-server
│ │ │ -001ed540: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001ed550: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001ed560: 2074 6674 702d 7365 7276 6572 0a20 2020   tftp-server.   
│ │ │ -001ed570: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -001ed580: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -001ed590: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -001ed5a0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -001ed5b0: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ -001ed5c0: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ -001ed5d0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001ed5e0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001ed5f0: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -001ed600: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -001ed610: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -001ed620: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -001ed630: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -001ed640: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -001ed650: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -001ed660: 6765 5f74 6674 702d 7365 7276 6572 5f72  ge_tftp-server_r
│ │ │ -001ed670: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ -001ed680: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -001ed690: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -001ed6a0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -001ed6b0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -001ed6c0: 2d74 6172 6765 743d 2223 6964 6d32 3135  -target="#idm215
│ │ │ -001ed6d0: 3936 2220 7461 6269 6e64 6578 3d22 3022  96" tabindex="0"
│ │ │ -001ed6e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -001ed6f0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -001ed700: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -001ed710: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -001ed720: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -001ed730: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -001ed740: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -001ed750: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -001ed760: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -001ed770: 6522 2069 643d 2269 646d 3231 3539 3622  e" id="idm21596"
│ │ │ -001ed780: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -001ed790: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -001ed7a0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -001ed7b0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -001ed7c0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -001ed7d0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -001ed7e0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001ed7f0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -001ed800: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001ed810: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -001ed820: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -001ed830: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -001ed840: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -001ed850: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -001ed860: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -001ed870: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -001ed880: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -001ed890: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -001ed8a0: 6c6c 2072 656d 6f76 6520 7466 7470 2d73  ll remove tftp-s
│ │ │ -001ed8b0: 6572 7665 720a 2309 2020 2066 726f 6d20  erver.#.   from 
│ │ │ -001ed8c0: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -001ed8d0: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -001ed8e0: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -001ed8f0: 7420 6465 7065 6e64 206f 6e20 7466 7470  t depend on tftp
│ │ │ -001ed900: 2d73 6572 7665 722e 2045 7865 6375 7465  -server. Execute
│ │ │ -001ed910: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ -001ed920: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ -001ed930: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ -001ed940: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ -001ed950: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ -001ed960: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -001ed970: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ -001ed980: 6d6f 7665 202d 7920 2274 6674 702d 7365  move -y "tftp-se
│ │ │ -001ed990: 7276 6572 220a 3c2f 636f 6465 3e3c 2f70  rver".</code></p
│ │ │ +001ed160: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +001ed170: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001ed180: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001ed190: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001ed1a0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001ed1b0: 3539 3422 3e3c 7461 626c 6520 636c 6173  594"><table clas
│ │ │ +001ed1c0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001ed1d0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001ed1e0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001ed1f0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001ed200: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001ed210: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001ed220: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001ed230: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001ed240: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001ed250: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001ed260: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001ed270: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001ed280: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001ed290: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001ed2a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +001ed2b0: 6e61 6d65 3a20 456e 7375 7265 2074 6674  name: Ensure tft
│ │ │ +001ed2c0: 702d 7365 7276 6572 2069 7320 7265 6d6f  p-server is remo
│ │ │ +001ed2d0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +001ed2e0: 2020 206e 616d 653a 2074 6674 702d 7365     name: tftp-se
│ │ │ +001ed2f0: 7276 6572 0a20 2020 2073 7461 7465 3a20  rver.    state: 
│ │ │ +001ed300: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +001ed310: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +001ed320: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +001ed330: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +001ed340: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +001ed350: 4d2d 3728 6229 0a20 202d 2050 4349 2d44  M-7(b).  - PCI-D
│ │ │ +001ed360: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +001ed370: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ +001ed380: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +001ed390: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +001ed3a0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +001ed3b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +001ed3c0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +001ed3d0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +001ed3e0: 202d 2070 6163 6b61 6765 5f74 6674 702d   - package_tftp-
│ │ │ +001ed3f0: 7365 7276 6572 5f72 656d 6f76 6564 0a3c  server_removed.<
│ │ │ +001ed400: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001ed410: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001ed420: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001ed430: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001ed440: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001ed450: 2223 6964 6d32 3135 3935 2220 7461 6269  "#idm21595" tabi
│ │ │ +001ed460: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001ed470: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001ed480: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001ed490: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001ed4a0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001ed4b0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +001ed4c0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +001ed4d0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001ed4e0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001ed4f0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001ed500: 646d 3231 3539 3522 3e3c 7461 626c 6520  dm21595"><table 
│ │ │ +001ed510: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001ed520: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001ed530: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001ed540: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001ed550: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001ed560: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001ed570: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001ed580: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001ed590: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001ed5a0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001ed5b0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001ed5c0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001ed5d0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001ed5e0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001ed5f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001ed600: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ +001ed610: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ +001ed620: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ +001ed630: 6520 7466 7470 2d73 6572 7665 720a 2309  e tftp-server.#.
│ │ │ +001ed640: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ +001ed650: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ +001ed660: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ +001ed670: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ +001ed680: 206f 6e20 7466 7470 2d73 6572 7665 722e   on tftp-server.
│ │ │ +001ed690: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ +001ed6a0: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ +001ed6b0: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ +001ed6c0: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ +001ed6d0: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ +001ed6e0: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +001ed6f0: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +001ed700: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ +001ed710: 2274 6674 702d 7365 7276 6572 220a 3c2f  "tftp-server".</
│ │ │ +001ed720: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +001ed730: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +001ed740: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +001ed750: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +001ed760: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +001ed770: 2369 646d 3231 3539 3622 2074 6162 696e  #idm21596" tabin
│ │ │ +001ed780: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +001ed790: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +001ed7a0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +001ed7b0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +001ed7c0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +001ed7d0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +001ed7e0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +001ed7f0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +001ed800: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +001ed810: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +001ed820: 6964 6d32 3135 3936 223e 3c74 6162 6c65  idm21596"><table
│ │ │ +001ed830: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +001ed840: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +001ed850: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +001ed860: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +001ed870: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +001ed880: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001ed890: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +001ed8a0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +001ed8b0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001ed8c0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +001ed8d0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +001ed8e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +001ed8f0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +001ed900: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +001ed910: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +001ed920: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +001ed930: 655f 7466 7470 2d73 6572 7665 720a 0a63  e_tftp-server..c
│ │ │ +001ed940: 6c61 7373 2072 656d 6f76 655f 7466 7470  lass remove_tftp
│ │ │ +001ed950: 2d73 6572 7665 7220 7b0a 2020 7061 636b  -server {.  pack
│ │ │ +001ed960: 6167 6520 7b20 2774 6674 702d 7365 7276  age { 'tftp-serv
│ │ │ +001ed970: 6572 273a 0a20 2020 2065 6e73 7572 6520  er':.    ensure 
│ │ │ +001ed980: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +001ed990: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  001ed9a0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  001ed9b0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  001ed9c0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  001ed9d0: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  001ed9e0: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  001ed9f0: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  001eda00: 7275 6c65 5f70 6163 6b61 6765 5f74 6674  rule_package_tft
│ │ │ @@ -126523,137 +126523,137 @@
│ │ │  001ee3a0: 7461 7267 6574 3d22 2369 646d 3231 3631  target="#idm2161
│ │ │  001ee3b0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │  001ee3c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  001ee3d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  001ee3e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  001ee3f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  001ee400: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001ee410: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -001ee420: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001ee430: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001ee440: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001ee450: 7365 2220 6964 3d22 6964 6d32 3136 3132  se" id="idm21612
│ │ │ -001ee460: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001ee470: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001ee480: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001ee490: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001ee4a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001ee4b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001ee4c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001ee4d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001ee4e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001ee4f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001ee500: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001ee510: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001ee520: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001ee530: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -001ee540: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -001ee550: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -001ee560: 6465 2072 656d 6f76 655f 7466 7470 0a0a  de remove_tftp..
│ │ │ -001ee570: 636c 6173 7320 7265 6d6f 7665 5f74 6674  class remove_tft
│ │ │ -001ee580: 7020 7b0a 2020 7061 636b 6167 6520 7b20  p {.  package { 
│ │ │ -001ee590: 2774 6674 7027 3a0a 2020 2020 656e 7375  'tftp':.    ensu
│ │ │ -001ee5a0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -001ee5b0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -001ee5c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -001ee5d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -001ee5e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -001ee5f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -001ee600: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -001ee610: 3136 3133 2220 7461 6269 6e64 6578 3d22  1613" tabindex="
│ │ │ -001ee620: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -001ee630: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -001ee640: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -001ee650: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -001ee660: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -001ee670: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -001ee680: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001ee690: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001ee6a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001ee6b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001ee6c0: 3136 3133 223e 3c74 6162 6c65 2063 6c61  1613"><table cla
│ │ │ -001ee6d0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001ee6e0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001ee6f0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001ee700: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001ee710: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001ee720: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001ee730: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001ee740: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001ee750: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001ee760: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001ee770: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001ee780: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001ee790: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -001ee7a0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -001ee7b0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -001ee7c0: 206e 616d 653a 2045 6e73 7572 6520 7466   name: Ensure tf
│ │ │ -001ee7d0: 7470 2069 7320 7265 6d6f 7665 640a 2020  tp is removed.  
│ │ │ -001ee7e0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -001ee7f0: 653a 2074 6674 700a 2020 2020 7374 6174  e: tftp.    stat
│ │ │ -001ee800: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -001ee810: 3a0a 2020 2d20 5043 492d 4453 5376 342d  :.  - PCI-DSSv4-
│ │ │ -001ee820: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -001ee830: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ -001ee840: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -001ee850: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -001ee860: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -001ee870: 6f6e 0a20 202d 206c 6f77 5f73 6576 6572  on.  - low_sever
│ │ │ -001ee880: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001ee890: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -001ee8a0: 6b61 6765 5f74 6674 705f 7265 6d6f 7665  kage_tftp_remove
│ │ │ -001ee8b0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -001ee8c0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -001ee8d0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001ee8e0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001ee8f0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001ee900: 6574 3d22 2369 646d 3231 3631 3422 2074  et="#idm21614" t
│ │ │ -001ee910: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001ee920: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001ee930: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -001ee940: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -001ee950: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -001ee960: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001ee970: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -001ee980: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001ee990: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001ee9a0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001ee9b0: 3d22 6964 6d32 3136 3134 223e 3c74 6162  ="idm21614"><tab
│ │ │ -001ee9c0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001ee9d0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001ee9e0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001ee9f0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001eea00: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001eea10: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001eea20: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001eea30: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001eea40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001eea50: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001eea60: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001eea70: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001eea80: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001eea90: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001eeaa0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001eeab0: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ -001eeac0: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ -001eead0: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ -001eeae0: 6d6f 7665 2074 6674 700a 2309 2020 2066  move tftp.#.   f
│ │ │ -001eeaf0: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ -001eeb00: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ -001eeb10: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ -001eeb20: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ -001eeb30: 7466 7470 2e20 4578 6563 7574 6520 7468  tftp. Execute th
│ │ │ -001eeb40: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ -001eeb50: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ -001eeb60: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ -001eeb70: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ -001eeb80: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ -001eeb90: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -001eeba0: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ -001eebb0: 6520 2d79 2022 7466 7470 220a 3c2f 636f  e -y "tftp".</co
│ │ │ +001ee410: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +001ee420: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +001ee430: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +001ee440: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +001ee450: 7073 6522 2069 643d 2269 646d 3231 3631  pse" id="idm2161
│ │ │ +001ee460: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ +001ee470: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +001ee480: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +001ee490: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001ee4a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001ee4b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001ee4c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001ee4d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001ee4e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001ee4f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +001ee500: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +001ee510: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +001ee520: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +001ee530: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +001ee540: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +001ee550: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +001ee560: 6d65 3a20 456e 7375 7265 2074 6674 7020  me: Ensure tftp 
│ │ │ +001ee570: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ +001ee580: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +001ee590: 7466 7470 0a20 2020 2073 7461 7465 3a20  tftp.    state: 
│ │ │ +001ee5a0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +001ee5b0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001ee5c0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +001ee5d0: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ +001ee5e0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +001ee5f0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +001ee600: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +001ee610: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ +001ee620: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001ee630: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001ee640: 655f 7466 7470 5f72 656d 6f76 6564 0a3c  e_tftp_removed.<
│ │ │ +001ee650: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001ee660: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001ee670: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001ee680: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001ee690: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001ee6a0: 2223 6964 6d32 3136 3133 2220 7461 6269  "#idm21613" tabi
│ │ │ +001ee6b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001ee6c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001ee6d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001ee6e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001ee6f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001ee700: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +001ee710: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +001ee720: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001ee730: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001ee740: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001ee750: 646d 3231 3631 3322 3e3c 7461 626c 6520  dm21613"><table 
│ │ │ +001ee760: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001ee770: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001ee780: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001ee790: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001ee7a0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001ee7b0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001ee7c0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001ee7d0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001ee7e0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001ee7f0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001ee800: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001ee810: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001ee820: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001ee830: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001ee840: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001ee850: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ +001ee860: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ +001ee870: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ +001ee880: 6520 7466 7470 0a23 0920 2020 6672 6f6d  e tftp.#.   from
│ │ │ +001ee890: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +001ee8a0: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +001ee8b0: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +001ee8c0: 6174 2064 6570 656e 6420 6f6e 2074 6674  at depend on tft
│ │ │ +001ee8d0: 702e 2045 7865 6375 7465 2074 6869 730a  p. Execute this.
│ │ │ +001ee8e0: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +001ee8f0: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +001ee900: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +001ee910: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +001ee920: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +001ee930: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +001ee940: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +001ee950: 7920 2274 6674 7022 0a3c 2f63 6f64 653e  y "tftp".</code>
│ │ │ +001ee960: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001ee970: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001ee980: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001ee990: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001ee9a0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001ee9b0: 3136 3134 2220 7461 6269 6e64 6578 3d22  1614" tabindex="
│ │ │ +001ee9c0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001ee9d0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001ee9e0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001ee9f0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001eea00: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001eea10: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +001eea20: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001eea30: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001eea40: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001eea50: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001eea60: 3631 3422 3e3c 7461 626c 6520 636c 6173  614"><table clas
│ │ │ +001eea70: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001eea80: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001eea90: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001eeaa0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001eeab0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001eeac0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001eead0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001eeae0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001eeaf0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001eeb00: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001eeb10: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001eeb20: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001eeb30: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001eeb40: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001eeb50: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +001eeb60: 636c 7564 6520 7265 6d6f 7665 5f74 6674  clude remove_tft
│ │ │ +001eeb70: 700a 0a63 6c61 7373 2072 656d 6f76 655f  p..class remove_
│ │ │ +001eeb80: 7466 7470 207b 0a20 2070 6163 6b61 6765  tftp {.  package
│ │ │ +001eeb90: 207b 2027 7466 7470 273a 0a20 2020 2065   { 'tftp':.    e
│ │ │ +001eeba0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +001eebb0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  001eebc0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  001eebd0: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  001eebe0: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  001eebf0: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  001eec00: 612d 7474 2d69 643d 2263 6869 6c64 7265  a-tt-id="childre
│ │ │  001eec10: 6e2d 7863 6364 665f 6f72 672e 7373 6770  n-xccdf_org.ssgp
│ │ │  001eec20: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f67  roject.content_g
│ │ │ @@ -129975,215 +129975,215 @@
│ │ │  001fbb60: 6574 3d22 2369 646d 3232 3232 3322 2074  et="#idm22223" t
│ │ │  001fbb70: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001fbb80: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  001fbb90: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  001fbba0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  001fbbb0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  001fbbc0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001fbbd0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -001fbbe0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -001fbbf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -001fbc00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -001fbc10: 6964 3d22 6964 6d32 3232 3233 223e 3c70  id="idm22223"><p
│ │ │ -001fbc20: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -001fbc30: 2073 7368 5f70 7269 7661 7465 5f6b 6579   ssh_private_key
│ │ │ -001fbc40: 5f70 6572 6d73 0a0a 636c 6173 7320 7373  _perms..class ss
│ │ │ -001fbc50: 685f 7072 6976 6174 655f 6b65 795f 7065  h_private_key_pe
│ │ │ -001fbc60: 726d 7320 7b0a 2020 6578 6563 207b 2027  rms {.  exec { '
│ │ │ -001fbc70: 7373 6864 5f70 7269 765f 6b65 7927 3a0a  sshd_priv_key':.
│ │ │ -001fbc80: 2020 2020 636f 6d6d 616e 6420 3d26 6774      command =&gt
│ │ │ -001fbc90: 3b20 2263 686d 6f64 2030 3634 3020 2f65  ; "chmod 0640 /e
│ │ │ -001fbca0: 7463 2f73 7368 2f2a 5f6b 6579 222c 0a20  tc/ssh/*_key",. 
│ │ │ -001fbcb0: 2020 2070 6174 6820 2020 203d 2667 743b     path    =&gt;
│ │ │ -001fbcc0: 2027 2f62 696e 3a2f 7573 722f 6269 6e27   '/bin:/usr/bin'
│ │ │ -001fbcd0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -001fbce0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -001fbcf0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -001fbd00: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -001fbd10: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -001fbd20: 2d74 6172 6765 743d 2223 6964 6d32 3232  -target="#idm222
│ │ │ -001fbd30: 3234 2220 7461 6269 6e64 6578 3d22 3022  24" tabindex="0"
│ │ │ -001fbd40: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -001fbd50: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -001fbd60: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -001fbd70: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -001fbd80: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -001fbd90: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -001fbda0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001fbdb0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001fbdc0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001fbdd0: 6170 7365 2220 6964 3d22 6964 6d32 3232  apse" id="idm222
│ │ │ -001fbde0: 3234 223e 3c74 6162 6c65 2063 6c61 7373  24"><table class
│ │ │ -001fbdf0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001fbe00: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001fbe10: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001fbe20: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001fbe30: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001fbe40: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001fbe50: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001fbe60: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001fbe70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001fbe80: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001fbe90: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001fbea0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001fbeb0: 3c2f 7468 3e3c 7464 3e63 6f6e 6669 6775  </th><td>configu
│ │ │ -001fbec0: 7265 3c2f 7464 3e3c 2f74 723e 3c2f 7461  re</td></tr></ta
│ │ │ -001fbed0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -001fbee0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -001fbef0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -001fbf00: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -001fbf10: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -001fbf20: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -001fbf30: 4953 542d 3830 302d 3137 312d 332e 312e  IST-800-171-3.1.
│ │ │ -001fbf40: 3133 0a20 202d 204e 4953 542d 3830 302d  13.  - NIST-800-
│ │ │ -001fbf50: 3137 312d 332e 3133 2e31 300a 2020 2d20  171-3.13.10.  - 
│ │ │ -001fbf60: 4e49 5354 2d38 3030 2d35 332d 4143 2d31  NIST-800-53-AC-1
│ │ │ -001fbf70: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -001fbf80: 302d 3533 2d41 432d 3628 3129 0a20 202d  0-53-AC-6(1).  -
│ │ │ -001fbf90: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001fbfa0: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -001fbfb0: 2d52 6571 2d32 2e32 2e34 0a20 202d 2050  -Req-2.2.4.  - P
│ │ │ -001fbfc0: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001fbfd0: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -001fbfe0: 0a20 202d 2063 6f6e 6669 6775 7265 5f73  .  - configure_s
│ │ │ -001fbff0: 7472 6174 6567 790a 2020 2d20 6669 6c65  trategy.  - file
│ │ │ -001fc000: 5f70 6572 6d69 7373 696f 6e73 5f73 7368  _permissions_ssh
│ │ │ -001fc010: 645f 7072 6976 6174 655f 6b65 790a 2020  d_private_key.  
│ │ │ -001fc020: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001fc030: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001fc040: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001fc050: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001fc060: 6562 6f6f 745f 6e65 6564 6564 0a0a 2d20  eboot_needed..- 
│ │ │ -001fc070: 6e61 6d65 3a20 4669 6e64 2072 6f6f 743a  name: Find root:
│ │ │ -001fc080: 726f 6f74 2d6f 776e 6564 206b 6579 730a  root-owned keys.
│ │ │ -001fc090: 2020 616e 7369 626c 652e 6275 696c 7469    ansible.builti
│ │ │ -001fc0a0: 6e2e 636f 6d6d 616e 643a 2066 696e 6420  n.command: find 
│ │ │ -001fc0b0: 2d48 202f 6574 632f 7373 682f 202d 6d61  -H /etc/ssh/ -ma
│ │ │ -001fc0c0: 7864 6570 7468 2031 202d 7573 6572 2072  xdepth 1 -user r
│ │ │ -001fc0d0: 6f6f 7420 2d72 6567 6578 2022 2e2a 5f6b  oot -regex ".*_k
│ │ │ -001fc0e0: 6579 2422 0a20 2020 202d 7479 7065 2066  ey$".    -type f
│ │ │ -001fc0f0: 202d 6772 6f75 7020 726f 6f74 202d 7065   -group root -pe
│ │ │ -001fc100: 726d 202f 752b 7873 2c67 2b78 7772 732c  rm /u+xs,g+xwrs,
│ │ │ -001fc110: 6f2b 7877 7274 0a20 2072 6567 6973 7465  o+xwrt.  registe
│ │ │ -001fc120: 723a 2072 6f6f 745f 6f77 6e65 645f 6b65  r: root_owned_ke
│ │ │ -001fc130: 7973 0a20 2063 6861 6e67 6564 5f77 6865  ys.  changed_whe
│ │ │ -001fc140: 6e3a 2066 616c 7365 0a20 2066 6169 6c65  n: false.  faile
│ │ │ -001fc150: 645f 7768 656e 3a20 6661 6c73 650a 2020  d_when: false.  
│ │ │ -001fc160: 6368 6563 6b5f 6d6f 6465 3a20 6661 6c73  check_mode: fals
│ │ │ -001fc170: 650a 2020 7768 656e 3a20 2722 6c69 6e75  e.  when: '"linu
│ │ │ -001fc180: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -001fc190: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -001fc1a0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -001fc1b0: 4953 542d 3830 302d 3137 312d 332e 312e  IST-800-171-3.1.
│ │ │ -001fc1c0: 3133 0a20 202d 204e 4953 542d 3830 302d  13.  - NIST-800-
│ │ │ -001fc1d0: 3137 312d 332e 3133 2e31 300a 2020 2d20  171-3.13.10.  - 
│ │ │ -001fc1e0: 4e49 5354 2d38 3030 2d35 332d 4143 2d31  NIST-800-53-AC-1
│ │ │ -001fc1f0: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -001fc200: 302d 3533 2d41 432d 3628 3129 0a20 202d  0-53-AC-6(1).  -
│ │ │ -001fc210: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001fc220: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -001fc230: 2d52 6571 2d32 2e32 2e34 0a20 202d 2050  -Req-2.2.4.  - P
│ │ │ -001fc240: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001fc250: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -001fc260: 0a20 202d 2063 6f6e 6669 6775 7265 5f73  .  - configure_s
│ │ │ -001fc270: 7472 6174 6567 790a 2020 2d20 6669 6c65  trategy.  - file
│ │ │ -001fc280: 5f70 6572 6d69 7373 696f 6e73 5f73 7368  _permissions_ssh
│ │ │ -001fc290: 645f 7072 6976 6174 655f 6b65 790a 2020  d_private_key.  
│ │ │ -001fc2a0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001fc2b0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001fc2c0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001fc2d0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001fc2e0: 6562 6f6f 745f 6e65 6564 6564 0a0a 2d20  eboot_needed..- 
│ │ │ -001fc2f0: 6e61 6d65 3a20 5365 7420 7065 726d 6973  name: Set permis
│ │ │ -001fc300: 7369 6f6e 7320 666f 7220 726f 6f74 3a72  sions for root:r
│ │ │ -001fc310: 6f6f 742d 6f77 6e65 6420 6b65 7973 0a20  oot-owned keys. 
│ │ │ -001fc320: 2061 6e73 6962 6c65 2e62 7569 6c74 696e   ansible.builtin
│ │ │ -001fc330: 2e66 696c 653a 0a20 2020 2070 6174 683a  .file:.    path:
│ │ │ -001fc340: 2027 7b7b 2069 7465 6d20 7d7d 270a 2020   '{{ item }}'.  
│ │ │ -001fc350: 2020 6d6f 6465 3a20 752d 7873 2c67 2d78    mode: u-xs,g-x
│ │ │ -001fc360: 7772 732c 6f2d 7877 7274 0a20 2020 2073  wrs,o-xwrt.    s
│ │ │ -001fc370: 7461 7465 3a20 6669 6c65 0a20 2077 6974  tate: file.  wit
│ │ │ -001fc380: 685f 6974 656d 733a 0a20 202d 2027 7b7b  h_items:.  - '{{
│ │ │ -001fc390: 2072 6f6f 745f 6f77 6e65 645f 6b65 7973   root_owned_keys
│ │ │ -001fc3a0: 2e73 7464 6f75 745f 6c69 6e65 7320 7d7d  .stdout_lines }}
│ │ │ -001fc3b0: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ -001fc3c0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -001fc3d0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -001fc3e0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -001fc3f0: 4953 542d 3830 302d 3137 312d 332e 312e  IST-800-171-3.1.
│ │ │ -001fc400: 3133 0a20 202d 204e 4953 542d 3830 302d  13.  - NIST-800-
│ │ │ -001fc410: 3137 312d 332e 3133 2e31 300a 2020 2d20  171-3.13.10.  - 
│ │ │ -001fc420: 4e49 5354 2d38 3030 2d35 332d 4143 2d31  NIST-800-53-AC-1
│ │ │ -001fc430: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -001fc440: 302d 3533 2d41 432d 3628 3129 0a20 202d  0-53-AC-6(1).  -
│ │ │ -001fc450: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001fc460: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -001fc470: 2d52 6571 2d32 2e32 2e34 0a20 202d 2050  -Req-2.2.4.  - P
│ │ │ -001fc480: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001fc490: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -001fc4a0: 0a20 202d 2063 6f6e 6669 6775 7265 5f73  .  - configure_s
│ │ │ -001fc4b0: 7472 6174 6567 790a 2020 2d20 6669 6c65  trategy.  - file
│ │ │ -001fc4c0: 5f70 6572 6d69 7373 696f 6e73 5f73 7368  _permissions_ssh
│ │ │ -001fc4d0: 645f 7072 6976 6174 655f 6b65 790a 2020  d_private_key.  
│ │ │ -001fc4e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001fc4f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001fc500: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001fc510: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001fc520: 6562 6f6f 745f 6e65 6564 6564 0a3c 2f63  eboot_needed.</c
│ │ │ -001fc530: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -001fc540: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -001fc550: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -001fc560: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -001fc570: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -001fc580: 6964 6d32 3232 3235 2220 7461 6269 6e64  idm22225" tabind
│ │ │ -001fc590: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -001fc5a0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -001fc5b0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -001fc5c0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -001fc5d0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001fc5e0: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -001fc5f0: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -001fc600: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001fc610: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001fc620: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001fc630: 3232 3232 3522 3e3c 7072 653e 3c63 6f64  22225"><pre><cod
│ │ │ -001fc640: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ -001fc650: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ -001fc660: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ -001fc670: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ -001fc680: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ -001fc690: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ -001fc6a0: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ -001fc6b0: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ -001fc6c0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ -001fc6d0: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ -001fc6e0: 643b 2074 6865 6e0a 0a66 6f72 206b 6579  d; then..for key
│ │ │ -001fc6f0: 6669 6c65 2069 6e20 2f65 7463 2f73 7368  file in /etc/ssh
│ │ │ -001fc700: 2f2a 5f6b 6579 3b20 646f 0a20 2020 2074  /*_key; do.    t
│ │ │ -001fc710: 6573 7420 2d66 2022 246b 6579 6669 6c65  est -f "$keyfile
│ │ │ -001fc720: 2220 7c7c 2063 6f6e 7469 6e75 650a 2020  " || continue.  
│ │ │ -001fc730: 2020 6966 2074 6573 7420 726f 6f74 3a72    if test root:r
│ │ │ -001fc740: 6f6f 7420 3d20 2224 2873 7461 7420 2d63  oot = "$(stat -c
│ │ │ -001fc750: 2022 2555 3a25 4722 2022 246b 6579 6669   "%U:%G" "$keyfi
│ │ │ -001fc760: 6c65 2229 223b 2074 6865 6e0a 2020 2020  le")"; then.    
│ │ │ -001fc770: 0a09 6368 6d6f 6420 752d 7873 2c67 2d78  ..chmod u-xs,g-x
│ │ │ -001fc780: 7772 732c 6f2d 7877 7274 2022 246b 6579  wrs,o-xwrt "$key
│ │ │ -001fc790: 6669 6c65 220a 2020 2020 0a20 2020 200a  file".    .    .
│ │ │ -001fc7a0: 2020 2020 656c 7365 0a20 2020 2020 2020      else.       
│ │ │ -001fc7b0: 2065 6368 6f20 224b 6579 2d6c 696b 6520   echo "Key-like 
│ │ │ -001fc7c0: 6669 6c65 2027 246b 6579 6669 6c65 2720  file '$keyfile' 
│ │ │ -001fc7d0: 6973 206f 776e 6564 2062 7920 616e 2075  is owned by an u
│ │ │ -001fc7e0: 6e65 7870 6563 7465 6420 7573 6572 3a67  nexpected user:g
│ │ │ -001fc7f0: 726f 7570 2063 6f6d 6269 6e61 7469 6f6e  roup combination
│ │ │ -001fc800: 220a 2020 2020 6669 0a64 6f6e 650a 0a65  ".    fi.done..e
│ │ │ -001fc810: 6c73 650a 2020 2020 2667 743b 2661 6d70  lse.    &gt;&amp
│ │ │ -001fc820: 3b32 2065 6368 6f20 2752 656d 6564 6961  ;2 echo 'Remedia
│ │ │ -001fc830: 7469 6f6e 2069 7320 6e6f 7420 6170 706c  tion is not appl
│ │ │ -001fc840: 6963 6162 6c65 2c20 6e6f 7468 696e 6720  icable, nothing 
│ │ │ -001fc850: 7761 7320 646f 6e65 270a 6669 0a3c 2f63  was done'.fi.</c
│ │ │ +001fbbd0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +001fbbe0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001fbbf0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001fbc00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001fbc10: 2069 643d 2269 646d 3232 3232 3322 3e3c   id="idm22223"><
│ │ │ +001fbc20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001fbc30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001fbc40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001fbc50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001fbc60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001fbc70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001fbc80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001fbc90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001fbca0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001fbcb0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001fbcc0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001fbcd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001fbce0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001fbcf0: 3c74 643e 636f 6e66 6967 7572 653c 2f74  <td>configure</t
│ │ │ +001fbd00: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001fbd10: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +001fbd20: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +001fbd30: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +001fbd40: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +001fbd50: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +001fbd60: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +001fbd70: 3030 2d31 3731 2d33 2e31 2e31 330a 2020  00-171-3.1.13.  
│ │ │ +001fbd80: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +001fbd90: 2e31 332e 3130 0a20 202d 204e 4953 542d  .13.10.  - NIST-
│ │ │ +001fbda0: 3830 302d 3533 2d41 432d 3137 2861 290a  800-53-AC-17(a).
│ │ │ +001fbdb0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001fbdc0: 4143 2d36 2831 290a 2020 2d20 4e49 5354  AC-6(1).  - NIST
│ │ │ +001fbdd0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +001fbde0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +001fbdf0: 322e 322e 340a 2020 2d20 5043 492d 4453  2.2.4.  - PCI-DS
│ │ │ +001fbe00: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +001fbe10: 4453 5376 342d 322e 322e 360a 2020 2d20  DSSv4-2.2.6.  - 
│ │ │ +001fbe20: 636f 6e66 6967 7572 655f 7374 7261 7465  configure_strate
│ │ │ +001fbe30: 6779 0a20 202d 2066 696c 655f 7065 726d  gy.  - file_perm
│ │ │ +001fbe40: 6973 7369 6f6e 735f 7373 6864 5f70 7269  issions_sshd_pri
│ │ │ +001fbe50: 7661 7465 5f6b 6579 0a20 202d 206c 6f77  vate_key.  - low
│ │ │ +001fbe60: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +001fbe70: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +001fbe80: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +001fbe90: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001fbea0: 5f6e 6565 6465 640a 0a2d 206e 616d 653a  _needed..- name:
│ │ │ +001fbeb0: 2046 696e 6420 726f 6f74 3a72 6f6f 742d   Find root:root-
│ │ │ +001fbec0: 6f77 6e65 6420 6b65 7973 0a20 2061 6e73  owned keys.  ans
│ │ │ +001fbed0: 6962 6c65 2e62 7569 6c74 696e 2e63 6f6d  ible.builtin.com
│ │ │ +001fbee0: 6d61 6e64 3a20 6669 6e64 202d 4820 2f65  mand: find -H /e
│ │ │ +001fbef0: 7463 2f73 7368 2f20 2d6d 6178 6465 7074  tc/ssh/ -maxdept
│ │ │ +001fbf00: 6820 3120 2d75 7365 7220 726f 6f74 202d  h 1 -user root -
│ │ │ +001fbf10: 7265 6765 7820 222e 2a5f 6b65 7924 220a  regex ".*_key$".
│ │ │ +001fbf20: 2020 2020 2d74 7970 6520 6620 2d67 726f      -type f -gro
│ │ │ +001fbf30: 7570 2072 6f6f 7420 2d70 6572 6d20 2f75  up root -perm /u
│ │ │ +001fbf40: 2b78 732c 672b 7877 7273 2c6f 2b78 7772  +xs,g+xwrs,o+xwr
│ │ │ +001fbf50: 740a 2020 7265 6769 7374 6572 3a20 726f  t.  register: ro
│ │ │ +001fbf60: 6f74 5f6f 776e 6564 5f6b 6579 730a 2020  ot_owned_keys.  
│ │ │ +001fbf70: 6368 616e 6765 645f 7768 656e 3a20 6661  changed_when: fa
│ │ │ +001fbf80: 6c73 650a 2020 6661 696c 6564 5f77 6865  lse.  failed_whe
│ │ │ +001fbf90: 6e3a 2066 616c 7365 0a20 2063 6865 636b  n: false.  check
│ │ │ +001fbfa0: 5f6d 6f64 653a 2066 616c 7365 0a20 2077  _mode: false.  w
│ │ │ +001fbfb0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +001fbfc0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +001fbfd0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +001fbfe0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +001fbff0: 3030 2d31 3731 2d33 2e31 2e31 330a 2020  00-171-3.1.13.  
│ │ │ +001fc000: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +001fc010: 2e31 332e 3130 0a20 202d 204e 4953 542d  .13.10.  - NIST-
│ │ │ +001fc020: 3830 302d 3533 2d41 432d 3137 2861 290a  800-53-AC-17(a).
│ │ │ +001fc030: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001fc040: 4143 2d36 2831 290a 2020 2d20 4e49 5354  AC-6(1).  - NIST
│ │ │ +001fc050: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +001fc060: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +001fc070: 322e 322e 340a 2020 2d20 5043 492d 4453  2.2.4.  - PCI-DS
│ │ │ +001fc080: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +001fc090: 4453 5376 342d 322e 322e 360a 2020 2d20  DSSv4-2.2.6.  - 
│ │ │ +001fc0a0: 636f 6e66 6967 7572 655f 7374 7261 7465  configure_strate
│ │ │ +001fc0b0: 6779 0a20 202d 2066 696c 655f 7065 726d  gy.  - file_perm
│ │ │ +001fc0c0: 6973 7369 6f6e 735f 7373 6864 5f70 7269  issions_sshd_pri
│ │ │ +001fc0d0: 7661 7465 5f6b 6579 0a20 202d 206c 6f77  vate_key.  - low
│ │ │ +001fc0e0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +001fc0f0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +001fc100: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +001fc110: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001fc120: 5f6e 6565 6465 640a 0a2d 206e 616d 653a  _needed..- name:
│ │ │ +001fc130: 2053 6574 2070 6572 6d69 7373 696f 6e73   Set permissions
│ │ │ +001fc140: 2066 6f72 2072 6f6f 743a 726f 6f74 2d6f   for root:root-o
│ │ │ +001fc150: 776e 6564 206b 6579 730a 2020 616e 7369  wned keys.  ansi
│ │ │ +001fc160: 626c 652e 6275 696c 7469 6e2e 6669 6c65  ble.builtin.file
│ │ │ +001fc170: 3a0a 2020 2020 7061 7468 3a20 277b 7b20  :.    path: '{{ 
│ │ │ +001fc180: 6974 656d 207d 7d27 0a20 2020 206d 6f64  item }}'.    mod
│ │ │ +001fc190: 653a 2075 2d78 732c 672d 7877 7273 2c6f  e: u-xs,g-xwrs,o
│ │ │ +001fc1a0: 2d78 7772 740a 2020 2020 7374 6174 653a  -xwrt.    state:
│ │ │ +001fc1b0: 2066 696c 650a 2020 7769 7468 5f69 7465   file.  with_ite
│ │ │ +001fc1c0: 6d73 3a0a 2020 2d20 277b 7b20 726f 6f74  ms:.  - '{{ root
│ │ │ +001fc1d0: 5f6f 776e 6564 5f6b 6579 732e 7374 646f  _owned_keys.stdo
│ │ │ +001fc1e0: 7574 5f6c 696e 6573 207d 7d27 0a20 2077  ut_lines }}'.  w
│ │ │ +001fc1f0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +001fc200: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +001fc210: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +001fc220: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +001fc230: 3030 2d31 3731 2d33 2e31 2e31 330a 2020  00-171-3.1.13.  
│ │ │ +001fc240: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +001fc250: 2e31 332e 3130 0a20 202d 204e 4953 542d  .13.10.  - NIST-
│ │ │ +001fc260: 3830 302d 3533 2d41 432d 3137 2861 290a  800-53-AC-17(a).
│ │ │ +001fc270: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001fc280: 4143 2d36 2831 290a 2020 2d20 4e49 5354  AC-6(1).  - NIST
│ │ │ +001fc290: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +001fc2a0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +001fc2b0: 322e 322e 340a 2020 2d20 5043 492d 4453  2.2.4.  - PCI-DS
│ │ │ +001fc2c0: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +001fc2d0: 4453 5376 342d 322e 322e 360a 2020 2d20  DSSv4-2.2.6.  - 
│ │ │ +001fc2e0: 636f 6e66 6967 7572 655f 7374 7261 7465  configure_strate
│ │ │ +001fc2f0: 6779 0a20 202d 2066 696c 655f 7065 726d  gy.  - file_perm
│ │ │ +001fc300: 6973 7369 6f6e 735f 7373 6864 5f70 7269  issions_sshd_pri
│ │ │ +001fc310: 7661 7465 5f6b 6579 0a20 202d 206c 6f77  vate_key.  - low
│ │ │ +001fc320: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +001fc330: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +001fc340: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +001fc350: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001fc360: 5f6e 6565 6465 640a 3c2f 636f 6465 3e3c  _needed.</code><
│ │ │ +001fc370: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +001fc380: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +001fc390: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +001fc3a0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +001fc3b0: 612d 7461 7267 6574 3d22 2369 646d 3232  a-target="#idm22
│ │ │ +001fc3c0: 3232 3422 2074 6162 696e 6465 783d 2230  224" tabindex="0
│ │ │ +001fc3d0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +001fc3e0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +001fc3f0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +001fc400: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +001fc410: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +001fc420: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +001fc430: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +001fc440: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +001fc450: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +001fc460: 7365 2220 6964 3d22 6964 6d32 3232 3234  se" id="idm22224
│ │ │ +001fc470: 223e 3c70 7265 3e3c 636f 6465 3e23 2052  "><pre><code># R
│ │ │ +001fc480: 656d 6564 6961 7469 6f6e 2069 7320 6170  emediation is ap
│ │ │ +001fc490: 706c 6963 6162 6c65 206f 6e6c 7920 696e  plicable only in
│ │ │ +001fc4a0: 2063 6572 7461 696e 2070 6c61 7466 6f72   certain platfor
│ │ │ +001fc4b0: 6d73 0a69 6620 6470 6b67 2d71 7565 7279  ms.if dpkg-query
│ │ │ +001fc4c0: 202d 2d73 686f 7720 2d2d 7368 6f77 666f   --show --showfo
│ │ │ +001fc4d0: 726d 6174 3d27 247b 6462 3a53 7461 7475  rmat='${db:Statu
│ │ │ +001fc4e0: 732d 5374 6174 7573 7d0a 2720 276c 696e  s-Status}.' 'lin
│ │ │ +001fc4f0: 7578 2d62 6173 6527 2032 2667 743b 2f64  ux-base' 2&gt;/d
│ │ │ +001fc500: 6576 2f6e 756c 6c20 7c20 6772 6570 202d  ev/null | grep -
│ │ │ +001fc510: 7120 5e69 6e73 7461 6c6c 6564 3b20 7468  q ^installed; th
│ │ │ +001fc520: 656e 0a0a 666f 7220 6b65 7966 696c 6520  en..for keyfile 
│ │ │ +001fc530: 696e 202f 6574 632f 7373 682f 2a5f 6b65  in /etc/ssh/*_ke
│ │ │ +001fc540: 793b 2064 6f0a 2020 2020 7465 7374 202d  y; do.    test -
│ │ │ +001fc550: 6620 2224 6b65 7966 696c 6522 207c 7c20  f "$keyfile" || 
│ │ │ +001fc560: 636f 6e74 696e 7565 0a20 2020 2069 6620  continue.    if 
│ │ │ +001fc570: 7465 7374 2072 6f6f 743a 726f 6f74 203d  test root:root =
│ │ │ +001fc580: 2022 2428 7374 6174 202d 6320 2225 553a   "$(stat -c "%U:
│ │ │ +001fc590: 2547 2220 2224 6b65 7966 696c 6522 2922  %G" "$keyfile")"
│ │ │ +001fc5a0: 3b20 7468 656e 0a20 2020 200a 0963 686d  ; then.    ..chm
│ │ │ +001fc5b0: 6f64 2075 2d78 732c 672d 7877 7273 2c6f  od u-xs,g-xwrs,o
│ │ │ +001fc5c0: 2d78 7772 7420 2224 6b65 7966 696c 6522  -xwrt "$keyfile"
│ │ │ +001fc5d0: 0a20 2020 200a 2020 2020 0a20 2020 2065  .    .    .    e
│ │ │ +001fc5e0: 6c73 650a 2020 2020 2020 2020 6563 686f  lse.        echo
│ │ │ +001fc5f0: 2022 4b65 792d 6c69 6b65 2066 696c 6520   "Key-like file 
│ │ │ +001fc600: 2724 6b65 7966 696c 6527 2069 7320 6f77  '$keyfile' is ow
│ │ │ +001fc610: 6e65 6420 6279 2061 6e20 756e 6578 7065  ned by an unexpe
│ │ │ +001fc620: 6374 6564 2075 7365 723a 6772 6f75 7020  cted user:group 
│ │ │ +001fc630: 636f 6d62 696e 6174 696f 6e22 0a20 2020  combination".   
│ │ │ +001fc640: 2066 690a 646f 6e65 0a0a 656c 7365 0a20   fi.done..else. 
│ │ │ +001fc650: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ +001fc660: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ +001fc670: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ +001fc680: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ +001fc690: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +001fc6a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +001fc6b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +001fc6c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +001fc6d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +001fc6e0: 612d 7461 7267 6574 3d22 2369 646d 3232  a-target="#idm22
│ │ │ +001fc6f0: 3232 3522 2074 6162 696e 6465 783d 2230  225" tabindex="0
│ │ │ +001fc700: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +001fc710: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +001fc720: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +001fc730: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +001fc740: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +001fc750: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +001fc760: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +001fc770: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +001fc780: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +001fc790: 6170 7365 2220 6964 3d22 6964 6d32 3232  apse" id="idm222
│ │ │ +001fc7a0: 3235 223e 3c70 7265 3e3c 636f 6465 3e69  25"><pre><code>i
│ │ │ +001fc7b0: 6e63 6c75 6465 2073 7368 5f70 7269 7661  nclude ssh_priva
│ │ │ +001fc7c0: 7465 5f6b 6579 5f70 6572 6d73 0a0a 636c  te_key_perms..cl
│ │ │ +001fc7d0: 6173 7320 7373 685f 7072 6976 6174 655f  ass ssh_private_
│ │ │ +001fc7e0: 6b65 795f 7065 726d 7320 7b0a 2020 6578  key_perms {.  ex
│ │ │ +001fc7f0: 6563 207b 2027 7373 6864 5f70 7269 765f  ec { 'sshd_priv_
│ │ │ +001fc800: 6b65 7927 3a0a 2020 2020 636f 6d6d 616e  key':.    comman
│ │ │ +001fc810: 6420 3d26 6774 3b20 2263 686d 6f64 2030  d =&gt; "chmod 0
│ │ │ +001fc820: 3634 3020 2f65 7463 2f73 7368 2f2a 5f6b  640 /etc/ssh/*_k
│ │ │ +001fc830: 6579 222c 0a20 2020 2070 6174 6820 2020  ey",.    path   
│ │ │ +001fc840: 203d 2667 743b 2027 2f62 696e 3a2f 7573   =&gt; '/bin:/us
│ │ │ +001fc850: 722f 6269 6e27 0a20 207d 0a7d 0a3c 2f63  r/bin'.  }.}.</c
│ │ │  001fc860: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  001fc870: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  001fc880: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  001fc890: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  001fc8a0: 7461 2d74 742d 6964 3d22 7863 6364 665f  ta-tt-id="xccdf_
│ │ │  001fc8b0: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  001fc8c0: 6f6e 7465 6e74 5f72 756c 655f 6669 6c65  ontent_rule_file
│ │ │ @@ -130452,217 +130452,217 @@
│ │ │  001fd930: 6765 743d 2223 6964 6d32 3232 3937 2220  get="#idm22297" 
│ │ │  001fd940: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001fd950: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  001fd960: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  001fd970: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  001fd980: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  001fd990: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001fd9a0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -001fd9b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -001fd9c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -001fd9d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -001fd9e0: 2069 643d 2269 646d 3232 3239 3722 3e3c   id="idm22297"><
│ │ │ -001fd9f0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -001fda00: 6520 7373 685f 7075 626c 6963 5f6b 6579  e ssh_public_key
│ │ │ -001fda10: 5f70 6572 6d73 0a0a 636c 6173 7320 7373  _perms..class ss
│ │ │ -001fda20: 685f 7075 626c 6963 5f6b 6579 5f70 6572  h_public_key_per
│ │ │ -001fda30: 6d73 207b 0a20 2065 7865 6320 7b20 2773  ms {.  exec { 's
│ │ │ -001fda40: 7368 645f 7075 625f 6b65 7927 3a0a 2020  shd_pub_key':.  
│ │ │ -001fda50: 2020 636f 6d6d 616e 6420 3d26 6774 3b20    command =&gt; 
│ │ │ -001fda60: 2263 686d 6f64 2030 3634 3420 2f65 7463  "chmod 0644 /etc
│ │ │ -001fda70: 2f73 7368 2f2a 2e70 7562 222c 0a20 2020  /ssh/*.pub",.   
│ │ │ -001fda80: 2070 6174 6820 2020 203d 2667 743b 2027   path    =&gt; '
│ │ │ -001fda90: 2f62 696e 3a2f 7573 722f 6269 6e27 0a20  /bin:/usr/bin'. 
│ │ │ -001fdaa0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -001fdab0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -001fdac0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -001fdad0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -001fdae0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -001fdaf0: 6172 6765 743d 2223 6964 6d32 3232 3938  arget="#idm22298
│ │ │ -001fdb00: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001fdb10: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001fdb20: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001fdb30: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001fdb40: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001fdb50: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001fdb60: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -001fdb70: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001fdb80: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001fdb90: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001fdba0: 7365 2220 6964 3d22 6964 6d32 3232 3938  se" id="idm22298
│ │ │ -001fdbb0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001fdbc0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001fdbd0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001fdbe0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001fdbf0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001fdc00: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001fdc10: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001fdc20: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001fdc30: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001fdc40: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001fdc50: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001fdc60: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001fdc70: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001fdc80: 7468 3e3c 7464 3e63 6f6e 6669 6775 7265  th><td>configure
│ │ │ -001fdc90: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -001fdca0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -001fdcb0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -001fdcc0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -001fdcd0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -001fdce0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -001fdcf0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -001fdd00: 542d 3830 302d 3137 312d 332e 312e 3133  T-800-171-3.1.13
│ │ │ -001fdd10: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -001fdd20: 312d 332e 3133 2e31 300a 2020 2d20 4e49  1-3.13.10.  - NI
│ │ │ -001fdd30: 5354 2d38 3030 2d35 332d 4143 2d31 3728  ST-800-53-AC-17(
│ │ │ -001fdd40: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -001fdd50: 3533 2d41 432d 3628 3129 0a20 202d 204e  53-AC-6(1).  - N
│ │ │ -001fdd60: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -001fdd70: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ -001fdd80: 6571 2d32 2e32 2e34 0a20 202d 2050 4349  eq-2.2.4.  - PCI
│ │ │ -001fdd90: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ -001fdda0: 4349 2d44 5353 7634 2d32 2e32 2e36 0a20  CI-DSSv4-2.2.6. 
│ │ │ -001fddb0: 202d 2063 6f6e 6669 6775 7265 5f73 7472   - configure_str
│ │ │ -001fddc0: 6174 6567 790a 2020 2d20 6669 6c65 5f70  ategy.  - file_p
│ │ │ -001fddd0: 6572 6d69 7373 696f 6e73 5f73 7368 645f  ermissions_sshd_
│ │ │ -001fdde0: 7075 625f 6b65 790a 2020 2d20 6c6f 775f  pub_key.  - low_
│ │ │ -001fddf0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -001fde00: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -001fde10: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -001fde20: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -001fde30: 6e65 6564 6564 0a0a 2d20 6e61 6d65 3a20  needed..- name: 
│ │ │ -001fde40: 4669 6e64 202f 6574 632f 7373 682f 2066  Find /etc/ssh/ f
│ │ │ -001fde50: 696c 6528 7329 0a20 2063 6f6d 6d61 6e64  ile(s).  command
│ │ │ -001fde60: 3a20 6669 6e64 202d 4820 2f65 7463 2f73  : find -H /etc/s
│ │ │ -001fde70: 7368 2f20 2d6d 6178 6465 7074 6820 3120  sh/ -maxdepth 1 
│ │ │ -001fde80: 2d70 6572 6d20 2f75 2b78 732c 672b 7877  -perm /u+xs,g+xw
│ │ │ -001fde90: 732c 6f2b 7877 7420 202d 7479 7065 2066  s,o+xwt  -type f
│ │ │ -001fdea0: 202d 7265 6765 7874 7970 650a 2020 2020   -regextype.    
│ │ │ -001fdeb0: 706f 7369 782d 6578 7465 6e64 6564 202d  posix-extended -
│ │ │ -001fdec0: 7265 6765 7820 225e 2e2a 5c2e 7075 6224  regex "^.*\.pub$
│ │ │ -001fded0: 220a 2020 7265 6769 7374 6572 3a20 6669  ".  register: fi
│ │ │ -001fdee0: 6c65 735f 666f 756e 640a 2020 6368 616e  les_found.  chan
│ │ │ -001fdef0: 6765 645f 7768 656e 3a20 6661 6c73 650a  ged_when: false.
│ │ │ -001fdf00: 2020 6661 696c 6564 5f77 6865 6e3a 2066    failed_when: f
│ │ │ -001fdf10: 616c 7365 0a20 2063 6865 636b 5f6d 6f64  alse.  check_mod
│ │ │ -001fdf20: 653a 2066 616c 7365 0a20 2077 6865 6e3a  e: false.  when:
│ │ │ -001fdf30: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -001fdf40: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -001fdf50: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -001fdf60: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ -001fdf70: 3731 2d33 2e31 2e31 330a 2020 2d20 4e49  71-3.1.13.  - NI
│ │ │ -001fdf80: 5354 2d38 3030 2d31 3731 2d33 2e31 332e  ST-800-171-3.13.
│ │ │ -001fdf90: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ -001fdfa0: 3533 2d41 432d 3137 2861 290a 2020 2d20  53-AC-17(a).  - 
│ │ │ -001fdfb0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ -001fdfc0: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ -001fdfd0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -001fdfe0: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ -001fdff0: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ -001fe000: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -001fe010: 342d 322e 322e 360a 2020 2d20 636f 6e66  4-2.2.6.  - conf
│ │ │ -001fe020: 6967 7572 655f 7374 7261 7465 6779 0a20  igure_strategy. 
│ │ │ -001fe030: 202d 2066 696c 655f 7065 726d 6973 7369   - file_permissi
│ │ │ -001fe040: 6f6e 735f 7373 6864 5f70 7562 5f6b 6579  ons_sshd_pub_key
│ │ │ -001fe050: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -001fe060: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -001fe070: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -001fe080: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -001fe090: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -001fe0a0: 0a2d 206e 616d 653a 2053 6574 2070 6572  .- name: Set per
│ │ │ -001fe0b0: 6d69 7373 696f 6e73 2066 6f72 202f 6574  missions for /et
│ │ │ -001fe0c0: 632f 7373 682f 2066 696c 6528 7329 0a20  c/ssh/ file(s). 
│ │ │ -001fe0d0: 2066 696c 653a 0a20 2020 2070 6174 683a   file:.    path:
│ │ │ -001fe0e0: 2027 7b7b 2069 7465 6d20 7d7d 270a 2020   '{{ item }}'.  
│ │ │ -001fe0f0: 2020 6d6f 6465 3a20 752d 7873 2c67 2d78    mode: u-xs,g-x
│ │ │ -001fe100: 7773 2c6f 2d78 7774 0a20 2020 2073 7461  ws,o-xwt.    sta
│ │ │ -001fe110: 7465 3a20 6669 6c65 0a20 2077 6974 685f  te: file.  with_
│ │ │ -001fe120: 6974 656d 733a 0a20 202d 2027 7b7b 2066  items:.  - '{{ f
│ │ │ -001fe130: 696c 6573 5f66 6f75 6e64 2e73 7464 6f75  iles_found.stdou
│ │ │ -001fe140: 745f 6c69 6e65 7320 7d7d 270a 2020 7768  t_lines }}'.  wh
│ │ │ -001fe150: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ -001fe160: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -001fe170: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -001fe180: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -001fe190: 302d 3137 312d 332e 312e 3133 0a20 202d  0-171-3.1.13.  -
│ │ │ -001fe1a0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -001fe1b0: 3133 2e31 300a 2020 2d20 4e49 5354 2d38  13.10.  - NIST-8
│ │ │ -001fe1c0: 3030 2d35 332d 4143 2d31 3728 6129 0a20  00-53-AC-17(a). 
│ │ │ -001fe1d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -001fe1e0: 432d 3628 3129 0a20 202d 204e 4953 542d  C-6(1).  - NIST-
│ │ │ -001fe1f0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -001fe200: 202d 2050 4349 2d44 5353 2d52 6571 2d32   - PCI-DSS-Req-2
│ │ │ -001fe210: 2e32 2e34 0a20 202d 2050 4349 2d44 5353  .2.4.  - PCI-DSS
│ │ │ -001fe220: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -001fe230: 5353 7634 2d32 2e32 2e36 0a20 202d 2063  SSv4-2.2.6.  - c
│ │ │ -001fe240: 6f6e 6669 6775 7265 5f73 7472 6174 6567  onfigure_strateg
│ │ │ -001fe250: 790a 2020 2d20 6669 6c65 5f70 6572 6d69  y.  - file_permi
│ │ │ -001fe260: 7373 696f 6e73 5f73 7368 645f 7075 625f  ssions_sshd_pub_
│ │ │ -001fe270: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -001fe280: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001fe290: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -001fe2a0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001fe2b0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001fe2c0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -001fe2d0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -001fe2e0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -001fe2f0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -001fe300: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -001fe310: 6765 743d 2223 6964 6d32 3232 3939 2220  get="#idm22299" 
│ │ │ -001fe320: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -001fe330: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -001fe340: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -001fe350: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -001fe360: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -001fe370: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001fe380: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -001fe390: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001fe3a0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001fe3b0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001fe3c0: 643d 2269 646d 3232 3239 3922 3e3c 7461  d="idm22299"><ta
│ │ │ -001fe3d0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001fe3e0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001fe3f0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001fe400: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001fe410: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001fe420: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001fe430: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001fe440: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001fe450: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001fe460: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001fe470: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001fe480: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001fe490: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001fe4a0: 643e 636f 6e66 6967 7572 653c 2f74 643e  d>configure</td>
│ │ │ -001fe4b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -001fe4c0: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ -001fe4d0: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ -001fe4e0: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ -001fe4f0: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ -001fe500: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ -001fe510: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ -001fe520: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ -001fe530: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ -001fe540: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ -001fe550: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ -001fe560: 7374 616c 6c65 643b 2074 6865 6e0a 0a66  stalled; then..f
│ │ │ -001fe570: 696e 6420 2d4c 202f 6574 632f 7373 682f  ind -L /etc/ssh/
│ │ │ -001fe580: 202d 6d61 7864 6570 7468 2031 202d 7065   -maxdepth 1 -pe
│ │ │ -001fe590: 726d 202f 752b 7873 2c67 2b78 7773 2c6f  rm /u+xs,g+xws,o
│ │ │ -001fe5a0: 2b78 7774 2020 2d74 7970 6520 6620 2d72  +xwt  -type f -r
│ │ │ -001fe5b0: 6567 6578 7479 7065 2070 6f73 6978 2d65  egextype posix-e
│ │ │ -001fe5c0: 7874 656e 6465 6420 2d72 6567 6578 2027  xtended -regex '
│ │ │ -001fe5d0: 5e2e 2a5c 2e70 7562 2427 202d 6578 6563  ^.*\.pub$' -exec
│ │ │ -001fe5e0: 2063 686d 6f64 2075 2d78 732c 672d 7877   chmod u-xs,g-xw
│ │ │ -001fe5f0: 732c 6f2d 7877 7420 7b7d 205c 3b0a 0a65  s,o-xwt {} \;..e
│ │ │ -001fe600: 6c73 650a 2020 2020 2667 743b 2661 6d70  lse.    &gt;&amp
│ │ │ -001fe610: 3b32 2065 6368 6f20 2752 656d 6564 6961  ;2 echo 'Remedia
│ │ │ -001fe620: 7469 6f6e 2069 7320 6e6f 7420 6170 706c  tion is not appl
│ │ │ -001fe630: 6963 6162 6c65 2c20 6e6f 7468 696e 6720  icable, nothing 
│ │ │ -001fe640: 7761 7320 646f 6e65 270a 6669 0a3c 2f63  was done'.fi.</c
│ │ │ +001fd9a0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +001fd9b0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001fd9c0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001fd9d0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001fd9e0: 2220 6964 3d22 6964 6d32 3232 3937 223e  " id="idm22297">
│ │ │ +001fd9f0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001fda00: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001fda10: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001fda20: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001fda30: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001fda40: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001fda50: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001fda60: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001fda70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001fda80: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001fda90: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001fdaa0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001fdab0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001fdac0: 3e3c 7464 3e63 6f6e 6669 6775 7265 3c2f  ><td>configure</
│ │ │ +001fdad0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +001fdae0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +001fdaf0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +001fdb00: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +001fdb10: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +001fdb20: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +001fdb30: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +001fdb40: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ +001fdb50: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +001fdb60: 332e 3133 2e31 300a 2020 2d20 4e49 5354  3.13.10.  - NIST
│ │ │ +001fdb70: 2d38 3030 2d35 332d 4143 2d31 3728 6129  -800-53-AC-17(a)
│ │ │ +001fdb80: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001fdb90: 2d41 432d 3628 3129 0a20 202d 204e 4953  -AC-6(1).  - NIS
│ │ │ +001fdba0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +001fdbb0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +001fdbc0: 2d32 2e32 2e34 0a20 202d 2050 4349 2d44  -2.2.4.  - PCI-D
│ │ │ +001fdbd0: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +001fdbe0: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ +001fdbf0: 2063 6f6e 6669 6775 7265 5f73 7472 6174   configure_strat
│ │ │ +001fdc00: 6567 790a 2020 2d20 6669 6c65 5f70 6572  egy.  - file_per
│ │ │ +001fdc10: 6d69 7373 696f 6e73 5f73 7368 645f 7075  missions_sshd_pu
│ │ │ +001fdc20: 625f 6b65 790a 2020 2d20 6c6f 775f 636f  b_key.  - low_co
│ │ │ +001fdc30: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +001fdc40: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +001fdc50: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +001fdc60: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001fdc70: 6564 6564 0a0a 2d20 6e61 6d65 3a20 4669  eded..- name: Fi
│ │ │ +001fdc80: 6e64 202f 6574 632f 7373 682f 2066 696c  nd /etc/ssh/ fil
│ │ │ +001fdc90: 6528 7329 0a20 2063 6f6d 6d61 6e64 3a20  e(s).  command: 
│ │ │ +001fdca0: 6669 6e64 202d 4820 2f65 7463 2f73 7368  find -H /etc/ssh
│ │ │ +001fdcb0: 2f20 2d6d 6178 6465 7074 6820 3120 2d70  / -maxdepth 1 -p
│ │ │ +001fdcc0: 6572 6d20 2f75 2b78 732c 672b 7877 732c  erm /u+xs,g+xws,
│ │ │ +001fdcd0: 6f2b 7877 7420 202d 7479 7065 2066 202d  o+xwt  -type f -
│ │ │ +001fdce0: 7265 6765 7874 7970 650a 2020 2020 706f  regextype.    po
│ │ │ +001fdcf0: 7369 782d 6578 7465 6e64 6564 202d 7265  six-extended -re
│ │ │ +001fdd00: 6765 7820 225e 2e2a 5c2e 7075 6224 220a  gex "^.*\.pub$".
│ │ │ +001fdd10: 2020 7265 6769 7374 6572 3a20 6669 6c65    register: file
│ │ │ +001fdd20: 735f 666f 756e 640a 2020 6368 616e 6765  s_found.  change
│ │ │ +001fdd30: 645f 7768 656e 3a20 6661 6c73 650a 2020  d_when: false.  
│ │ │ +001fdd40: 6661 696c 6564 5f77 6865 6e3a 2066 616c  failed_when: fal
│ │ │ +001fdd50: 7365 0a20 2063 6865 636b 5f6d 6f64 653a  se.  check_mode:
│ │ │ +001fdd60: 2066 616c 7365 0a20 2077 6865 6e3a 2027   false.  when: '
│ │ │ +001fdd70: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +001fdd80: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +001fdd90: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +001fdda0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +001fddb0: 2d33 2e31 2e31 330a 2020 2d20 4e49 5354  -3.1.13.  - NIST
│ │ │ +001fddc0: 2d38 3030 2d31 3731 2d33 2e31 332e 3130  -800-171-3.13.10
│ │ │ +001fddd0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001fdde0: 2d41 432d 3137 2861 290a 2020 2d20 4e49  -AC-17(a).  - NI
│ │ │ +001fddf0: 5354 2d38 3030 2d35 332d 4143 2d36 2831  ST-800-53-AC-6(1
│ │ │ +001fde00: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +001fde10: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +001fde20: 492d 4453 532d 5265 712d 322e 322e 340a  I-DSS-Req-2.2.4.
│ │ │ +001fde30: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +001fde40: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +001fde50: 322e 322e 360a 2020 2d20 636f 6e66 6967  2.2.6.  - config
│ │ │ +001fde60: 7572 655f 7374 7261 7465 6779 0a20 202d  ure_strategy.  -
│ │ │ +001fde70: 2066 696c 655f 7065 726d 6973 7369 6f6e   file_permission
│ │ │ +001fde80: 735f 7373 6864 5f70 7562 5f6b 6579 0a20  s_sshd_pub_key. 
│ │ │ +001fde90: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001fdea0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001fdeb0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +001fdec0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001fded0: 7265 626f 6f74 5f6e 6565 6465 640a 0a2d  reboot_needed..-
│ │ │ +001fdee0: 206e 616d 653a 2053 6574 2070 6572 6d69   name: Set permi
│ │ │ +001fdef0: 7373 696f 6e73 2066 6f72 202f 6574 632f  ssions for /etc/
│ │ │ +001fdf00: 7373 682f 2066 696c 6528 7329 0a20 2066  ssh/ file(s).  f
│ │ │ +001fdf10: 696c 653a 0a20 2020 2070 6174 683a 2027  ile:.    path: '
│ │ │ +001fdf20: 7b7b 2069 7465 6d20 7d7d 270a 2020 2020  {{ item }}'.    
│ │ │ +001fdf30: 6d6f 6465 3a20 752d 7873 2c67 2d78 7773  mode: u-xs,g-xws
│ │ │ +001fdf40: 2c6f 2d78 7774 0a20 2020 2073 7461 7465  ,o-xwt.    state
│ │ │ +001fdf50: 3a20 6669 6c65 0a20 2077 6974 685f 6974  : file.  with_it
│ │ │ +001fdf60: 656d 733a 0a20 202d 2027 7b7b 2066 696c  ems:.  - '{{ fil
│ │ │ +001fdf70: 6573 5f66 6f75 6e64 2e73 7464 6f75 745f  es_found.stdout_
│ │ │ +001fdf80: 6c69 6e65 7320 7d7d 270a 2020 7768 656e  lines }}'.  when
│ │ │ +001fdf90: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +001fdfa0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +001fdfb0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +001fdfc0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +001fdfd0: 3137 312d 332e 312e 3133 0a20 202d 204e  171-3.1.13.  - N
│ │ │ +001fdfe0: 4953 542d 3830 302d 3137 312d 332e 3133  IST-800-171-3.13
│ │ │ +001fdff0: 2e31 300a 2020 2d20 4e49 5354 2d38 3030  .10.  - NIST-800
│ │ │ +001fe000: 2d35 332d 4143 2d31 3728 6129 0a20 202d  -53-AC-17(a).  -
│ │ │ +001fe010: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +001fe020: 3628 3129 0a20 202d 204e 4953 542d 3830  6(1).  - NIST-80
│ │ │ +001fe030: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +001fe040: 2050 4349 2d44 5353 2d52 6571 2d32 2e32   PCI-DSS-Req-2.2
│ │ │ +001fe050: 2e34 0a20 202d 2050 4349 2d44 5353 7634  .4.  - PCI-DSSv4
│ │ │ +001fe060: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +001fe070: 7634 2d32 2e32 2e36 0a20 202d 2063 6f6e  v4-2.2.6.  - con
│ │ │ +001fe080: 6669 6775 7265 5f73 7472 6174 6567 790a  figure_strategy.
│ │ │ +001fe090: 2020 2d20 6669 6c65 5f70 6572 6d69 7373    - file_permiss
│ │ │ +001fe0a0: 696f 6e73 5f73 7368 645f 7075 625f 6b65  ions_sshd_pub_ke
│ │ │ +001fe0b0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +001fe0c0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +001fe0d0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +001fe0e0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +001fe0f0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +001fe100: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +001fe110: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +001fe120: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +001fe130: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +001fe140: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +001fe150: 743d 2223 6964 6d32 3232 3938 2220 7461  t="#idm22298" ta
│ │ │ +001fe160: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +001fe170: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +001fe180: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +001fe190: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +001fe1a0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +001fe1b0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +001fe1c0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ +001fe1d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001fe1e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001fe1f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001fe200: 2269 646d 3232 3239 3822 3e3c 7461 626c  "idm22298"><tabl
│ │ │ +001fe210: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001fe220: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001fe230: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001fe240: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001fe250: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001fe260: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001fe270: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001fe280: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001fe290: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001fe2a0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001fe2b0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001fe2c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001fe2d0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001fe2e0: 636f 6e66 6967 7572 653c 2f74 643e 3c2f  configure</td></
│ │ │ +001fe2f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001fe300: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ +001fe310: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ +001fe320: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ +001fe330: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ +001fe340: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ +001fe350: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ +001fe360: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ +001fe370: 737d 0a27 2027 6c69 6e75 782d 6261 7365  s}.' 'linux-base
│ │ │ +001fe380: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c  ' 2&gt;/dev/null
│ │ │ +001fe390: 207c 2067 7265 7020 2d71 205e 696e 7374   | grep -q ^inst
│ │ │ +001fe3a0: 616c 6c65 643b 2074 6865 6e0a 0a66 696e  alled; then..fin
│ │ │ +001fe3b0: 6420 2d4c 202f 6574 632f 7373 682f 202d  d -L /etc/ssh/ -
│ │ │ +001fe3c0: 6d61 7864 6570 7468 2031 202d 7065 726d  maxdepth 1 -perm
│ │ │ +001fe3d0: 202f 752b 7873 2c67 2b78 7773 2c6f 2b78   /u+xs,g+xws,o+x
│ │ │ +001fe3e0: 7774 2020 2d74 7970 6520 6620 2d72 6567  wt  -type f -reg
│ │ │ +001fe3f0: 6578 7479 7065 2070 6f73 6978 2d65 7874  extype posix-ext
│ │ │ +001fe400: 656e 6465 6420 2d72 6567 6578 2027 5e2e  ended -regex '^.
│ │ │ +001fe410: 2a5c 2e70 7562 2427 202d 6578 6563 2063  *\.pub$' -exec c
│ │ │ +001fe420: 686d 6f64 2075 2d78 732c 672d 7877 732c  hmod u-xs,g-xws,
│ │ │ +001fe430: 6f2d 7877 7420 7b7d 205c 3b0a 0a65 6c73  o-xwt {} \;..els
│ │ │ +001fe440: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ +001fe450: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ +001fe460: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ +001fe470: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ +001fe480: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +001fe490: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +001fe4a0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +001fe4b0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +001fe4c0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +001fe4d0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +001fe4e0: 6d32 3232 3939 2220 7461 6269 6e64 6578  m22299" tabindex
│ │ │ +001fe4f0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +001fe500: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +001fe510: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +001fe520: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +001fe530: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +001fe540: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +001fe550: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001fe560: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001fe570: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001fe580: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001fe590: 3232 3239 3922 3e3c 7072 653e 3c63 6f64  22299"><pre><cod
│ │ │ +001fe5a0: 653e 696e 636c 7564 6520 7373 685f 7075  e>include ssh_pu
│ │ │ +001fe5b0: 626c 6963 5f6b 6579 5f70 6572 6d73 0a0a  blic_key_perms..
│ │ │ +001fe5c0: 636c 6173 7320 7373 685f 7075 626c 6963  class ssh_public
│ │ │ +001fe5d0: 5f6b 6579 5f70 6572 6d73 207b 0a20 2065  _key_perms {.  e
│ │ │ +001fe5e0: 7865 6320 7b20 2773 7368 645f 7075 625f  xec { 'sshd_pub_
│ │ │ +001fe5f0: 6b65 7927 3a0a 2020 2020 636f 6d6d 616e  key':.    comman
│ │ │ +001fe600: 6420 3d26 6774 3b20 2263 686d 6f64 2030  d =&gt; "chmod 0
│ │ │ +001fe610: 3634 3420 2f65 7463 2f73 7368 2f2a 2e70  644 /etc/ssh/*.p
│ │ │ +001fe620: 7562 222c 0a20 2020 2070 6174 6820 2020  ub",.    path   
│ │ │ +001fe630: 203d 2667 743b 2027 2f62 696e 3a2f 7573   =&gt; '/bin:/us
│ │ │ +001fe640: 722f 6269 6e27 0a20 207d 0a7d 0a3c 2f63  r/bin'.  }.}.</c
│ │ │  001fe650: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  001fe660: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  001fe670: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  001fe680: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  001fe690: 7461 2d74 742d 6964 3d22 6368 696c 6472  ta-tt-id="childr
│ │ │  001fe6a0: 656e 2d78 6363 6466 5f6f 7267 2e73 7367  en-xccdf_org.ssg
│ │ │  001fe6b0: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │ @@ -226172,204 +226172,204 @@
│ │ │  003737b0: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │  003737c0: 3634 3722 2074 6162 696e 6465 783d 2230  647" tabindex="0
│ │ │  003737d0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  003737e0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  003737f0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00373800: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00373810: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00373820: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00373830: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00373840: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00373850: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00373860: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00373870: 2069 643d 2269 646d 3234 3634 3722 3e3c   id="idm24647"><
│ │ │ -00373880: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00373890: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -003738a0: 6175 6469 7464 220a 7665 7273 696f 6e20  auditd".version 
│ │ │ -003738b0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ -003738c0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -003738d0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -003738e0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -003738f0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00373900: 7461 7267 6574 3d22 2369 646d 3234 3634  target="#idm2464
│ │ │ -00373910: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ -00373920: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00373930: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00373940: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00373950: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00373960: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00373970: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00373980: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00373990: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -003739a0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -003739b0: 7365 2220 6964 3d22 6964 6d32 3436 3438  se" id="idm24648
│ │ │ -003739c0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -003739d0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -003739e0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -003739f0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00373a00: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00373a10: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00373a20: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00373a30: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00373a40: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00373a50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00373a60: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00373a70: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00373a80: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00373a90: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00373aa0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00373ab0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00373ac0: 6520 696e 7374 616c 6c5f 6175 6469 7464  e install_auditd
│ │ │ -00373ad0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -00373ae0: 6175 6469 7464 207b 0a20 2070 6163 6b61  auditd {.  packa
│ │ │ -00373af0: 6765 207b 2027 6175 6469 7464 273a 0a20  ge { 'auditd':. 
│ │ │ -00373b00: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00373b10: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ -00373b20: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -00373b30: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00373b40: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00373b50: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00373b60: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00373b70: 6765 743d 2223 6964 6d32 3436 3439 2220  get="#idm24649" 
│ │ │ -00373b80: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00373b90: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00373ba0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00373bb0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00373bc0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00373bd0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00373be0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00373bf0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00373c00: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00373c10: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00373c20: 2220 6964 3d22 6964 6d32 3436 3439 223e  " id="idm24649">
│ │ │ -00373c30: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00373c40: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00373c50: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00373c60: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00373c70: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00373c80: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00373c90: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00373ca0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00373cb0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00373cc0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00373cd0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00373ce0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00373cf0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00373d00: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00373d10: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00373d20: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00373d30: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00373d40: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00373d50: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00373d60: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -00373d70: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00373d80: 2d35 332d 4143 2d37 2861 290a 2020 2d20  -53-AC-7(a).  - 
│ │ │ -00373d90: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -00373da0: 3228 3229 0a20 202d 204e 4953 542d 3830  2(2).  - NIST-80
│ │ │ -00373db0: 302d 3533 2d41 552d 3134 0a20 202d 204e  0-53-AU-14.  - N
│ │ │ -00373dc0: 4953 542d 3830 302d 3533 2d41 552d 3228  IST-800-53-AU-2(
│ │ │ -00373dd0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00373de0: 3533 2d41 552d 3728 3129 0a20 202d 204e  53-AU-7(1).  - N
│ │ │ -00373df0: 4953 542d 3830 302d 3533 2d41 552d 3728  IST-800-53-AU-7(
│ │ │ -00373e00: 3229 0a20 202d 204e 4953 542d 3830 302d  2).  - NIST-800-
│ │ │ -00373e10: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -00373e20: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -00373e30: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00373e40: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00373e50: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -00373e60: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00373e70: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00373e80: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00373e90: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00373ea0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00373eb0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00373ec0: 6163 6b61 6765 5f61 7564 6974 5f69 6e73  ackage_audit_ins
│ │ │ -00373ed0: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -00373ee0: 456e 7375 7265 2061 7564 6974 6420 6973  Ensure auditd is
│ │ │ -00373ef0: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -00373f00: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -00373f10: 6175 6469 7464 0a20 2020 2073 7461 7465  auditd.    state
│ │ │ -00373f20: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -00373f30: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00373f40: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00373f50: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00373f60: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00373f70: 3533 2d41 432d 3728 6129 0a20 202d 204e  53-AC-7(a).  - N
│ │ │ -00373f80: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -00373f90: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ -00373fa0: 2d35 332d 4155 2d31 340a 2020 2d20 4e49  -53-AU-14.  - NI
│ │ │ -00373fb0: 5354 2d38 3030 2d35 332d 4155 2d32 2861  ST-800-53-AU-2(a
│ │ │ -00373fc0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00373fd0: 332d 4155 2d37 2831 290a 2020 2d20 4e49  3-AU-7(1).  - NI
│ │ │ -00373fe0: 5354 2d38 3030 2d35 332d 4155 2d37 2832  ST-800-53-AU-7(2
│ │ │ -00373ff0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00374000: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -00374010: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ -00374020: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -00374030: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -00374040: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ -00374050: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00374060: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00374070: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00374080: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -00374090: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -003740a0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -003740b0: 636b 6167 655f 6175 6469 745f 696e 7374  ckage_audit_inst
│ │ │ -003740c0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ -003740d0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -003740e0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -003740f0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00374100: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00374110: 7461 7267 6574 3d22 2369 646d 3234 3635  target="#idm2465
│ │ │ -00374120: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ -00374130: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00374140: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00374150: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00374160: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00374170: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00374180: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ -00374190: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -003741a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -003741b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -003741c0: 2220 6964 3d22 6964 6d32 3436 3530 223e  " id="idm24650">
│ │ │ -003741d0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -003741e0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -003741f0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00374200: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00374210: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00374220: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00374230: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00374240: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00374250: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00374260: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00374270: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00374280: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00374290: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -003742a0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -003742b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -003742c0: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ -003742d0: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ -003742e0: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ -003742f0: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ -00374300: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ -00374310: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ -00374320: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ -00374330: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ -00374340: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ -00374350: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ -00374360: 7374 616c 6c65 643b 2074 6865 6e0a 0a44  stalled; then..D
│ │ │ -00374370: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -00374380: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -00374390: 742d 6765 7420 696e 7374 616c 6c20 2d79  t-get install -y
│ │ │ -003743a0: 2022 6175 6469 7464 220a 0a65 6c73 650a   "auditd"..else.
│ │ │ -003743b0: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -003743c0: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -003743d0: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -003743e0: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -003743f0: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +00373820: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00373830: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00373840: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00373850: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00373860: 6c61 7073 6522 2069 643d 2269 646d 3234  lapse" id="idm24
│ │ │ +00373870: 3634 3722 3e3c 7461 626c 6520 636c 6173  647"><table clas
│ │ │ +00373880: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00373890: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +003738a0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +003738b0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +003738c0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +003738d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +003738e0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +003738f0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00373900: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00373910: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00373920: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00373930: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00373940: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00373950: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00373960: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00373970: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00373980: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00373990: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +003739a0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +003739b0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +003739c0: 542d 3830 302d 3533 2d41 432d 3728 6129  T-800-53-AC-7(a)
│ │ │ +003739d0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +003739e0: 2d41 552d 3132 2832 290a 2020 2d20 4e49  -AU-12(2).  - NI
│ │ │ +003739f0: 5354 2d38 3030 2d35 332d 4155 2d31 340a  ST-800-53-AU-14.
│ │ │ +00373a00: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00373a10: 4155 2d32 2861 290a 2020 2d20 4e49 5354  AU-2(a).  - NIST
│ │ │ +00373a20: 2d38 3030 2d35 332d 4155 2d37 2831 290a  -800-53-AU-7(1).
│ │ │ +00373a30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00373a40: 4155 2d37 2832 290a 2020 2d20 4e49 5354  AU-7(2).  - NIST
│ │ │ +00373a50: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00373a60: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +00373a70: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ +00373a80: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ +00373a90: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ +00373aa0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00373ab0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00373ac0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00373ad0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00373ae0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00373af0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00373b00: 2020 2d20 7061 636b 6167 655f 6175 6469    - package_audi
│ │ │ +00373b10: 745f 696e 7374 616c 6c65 640a 0a2d 206e  t_installed..- n
│ │ │ +00373b20: 616d 653a 2045 6e73 7572 6520 6175 6469  ame: Ensure audi
│ │ │ +00373b30: 7464 2069 7320 696e 7374 616c 6c65 640a  td is installed.
│ │ │ +00373b40: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00373b50: 616d 653a 2061 7564 6974 640a 2020 2020  ame: auditd.    
│ │ │ +00373b60: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +00373b70: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00373b80: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00373b90: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00373ba0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00373bb0: 2d38 3030 2d35 332d 4143 2d37 2861 290a  -800-53-AC-7(a).
│ │ │ +00373bc0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00373bd0: 4155 2d31 3228 3229 0a20 202d 204e 4953  AU-12(2).  - NIS
│ │ │ +00373be0: 542d 3830 302d 3533 2d41 552d 3134 0a20  T-800-53-AU-14. 
│ │ │ +00373bf0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00373c00: 552d 3228 6129 0a20 202d 204e 4953 542d  U-2(a).  - NIST-
│ │ │ +00373c10: 3830 302d 3533 2d41 552d 3728 3129 0a20  800-53-AU-7(1). 
│ │ │ +00373c20: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00373c30: 552d 3728 3229 0a20 202d 204e 4953 542d  U-7(2).  - NIST-
│ │ │ +00373c40: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00373c50: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +00373c60: 302e 310a 2020 2d20 5043 492d 4453 5376  0.1.  - PCI-DSSv
│ │ │ +00373c70: 342d 3130 2e32 0a20 202d 2050 4349 2d44  4-10.2.  - PCI-D
│ │ │ +00373c80: 5353 7634 2d31 302e 322e 310a 2020 2d20  SSv4-10.2.1.  - 
│ │ │ +00373c90: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00373ca0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00373cb0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00373cc0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00373cd0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00373ce0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00373cf0: 202d 2070 6163 6b61 6765 5f61 7564 6974   - package_audit
│ │ │ +00373d00: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +00373d10: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00373d20: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00373d30: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00373d40: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00373d50: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00373d60: 6d32 3436 3438 2220 7461 6269 6e64 6578  m24648" tabindex
│ │ │ +00373d70: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00373d80: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00373d90: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00373da0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00373db0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00373dc0: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +00373dd0: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +00373de0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00373df0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00373e00: 6c61 7073 6522 2069 643d 2269 646d 3234  lapse" id="idm24
│ │ │ +00373e10: 3634 3822 3e3c 7461 626c 6520 636c 6173  648"><table clas
│ │ │ +00373e20: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00373e30: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00373e40: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00373e50: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00373e60: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00373e70: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00373e80: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00373e90: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00373ea0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00373eb0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00373ec0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00373ed0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00373ee0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00373ef0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00373f00: 653e 3c70 7265 3e3c 636f 6465 3e23 2052  e><pre><code># R
│ │ │ +00373f10: 656d 6564 6961 7469 6f6e 2069 7320 6170  emediation is ap
│ │ │ +00373f20: 706c 6963 6162 6c65 206f 6e6c 7920 696e  plicable only in
│ │ │ +00373f30: 2063 6572 7461 696e 2070 6c61 7466 6f72   certain platfor
│ │ │ +00373f40: 6d73 0a69 6620 6470 6b67 2d71 7565 7279  ms.if dpkg-query
│ │ │ +00373f50: 202d 2d73 686f 7720 2d2d 7368 6f77 666f   --show --showfo
│ │ │ +00373f60: 726d 6174 3d27 247b 6462 3a53 7461 7475  rmat='${db:Statu
│ │ │ +00373f70: 732d 5374 6174 7573 7d0a 2720 276c 696e  s-Status}.' 'lin
│ │ │ +00373f80: 7578 2d62 6173 6527 2032 2667 743b 2f64  ux-base' 2&gt;/d
│ │ │ +00373f90: 6576 2f6e 756c 6c20 7c20 6772 6570 202d  ev/null | grep -
│ │ │ +00373fa0: 7120 5e69 6e73 7461 6c6c 6564 3b20 7468  q ^installed; th
│ │ │ +00373fb0: 656e 0a0a 4445 4249 414e 5f46 524f 4e54  en..DEBIAN_FRONT
│ │ │ +00373fc0: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +00373fd0: 7665 2061 7074 2d67 6574 2069 6e73 7461  ve apt-get insta
│ │ │ +00373fe0: 6c6c 202d 7920 2261 7564 6974 6422 0a0a  ll -y "auditd"..
│ │ │ +00373ff0: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ +00374000: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ +00374010: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ +00374020: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ +00374030: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +00374040: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00374050: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00374060: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00374070: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00374080: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00374090: 2369 646d 3234 3634 3922 2074 6162 696e  #idm24649" tabin
│ │ │ +003740a0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +003740b0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +003740c0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +003740d0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +003740e0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +003740f0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00374100: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00374110: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00374120: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00374130: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00374140: 6c61 7073 6522 2069 643d 2269 646d 3234  lapse" id="idm24
│ │ │ +00374150: 3634 3922 3e3c 7072 653e 3c63 6f64 653e  649"><pre><code>
│ │ │ +00374160: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +00374170: 6d65 203d 2022 6175 6469 7464 220a 7665  me = "auditd".ve
│ │ │ +00374180: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ +00374190: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +003741a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +003741b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +003741c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +003741d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +003741e0: 646d 3234 3635 3022 2074 6162 696e 6465  dm24650" tabinde
│ │ │ +003741f0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00374200: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00374210: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00374220: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00374230: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00374240: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +00374250: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00374260: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00374270: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00374280: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00374290: 6d32 3436 3530 223e 3c74 6162 6c65 2063  m24650"><table c
│ │ │ +003742a0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +003742b0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +003742c0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +003742d0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +003742e0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +003742f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00374300: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00374310: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00374320: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00374330: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00374340: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00374350: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00374360: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00374370: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00374380: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00374390: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +003743a0: 6175 6469 7464 0a0a 636c 6173 7320 696e  auditd..class in
│ │ │ +003743b0: 7374 616c 6c5f 6175 6469 7464 207b 0a20  stall_auditd {. 
│ │ │ +003743c0: 2070 6163 6b61 6765 207b 2027 6175 6469   package { 'audi
│ │ │ +003743d0: 7464 273a 0a20 2020 2065 6e73 7572 6520  td':.    ensure 
│ │ │ +003743e0: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +003743f0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00374400: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00374410: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00374420: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00374430: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00374440: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  00374450: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  00374460: 6e74 5f72 756c 655f 7365 7276 6963 655f  nt_rule_service_
│ │ │ @@ -226779,191 +226779,191 @@
│ │ │  00375da0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00375db0: 6964 6d32 3438 3438 2220 7461 6269 6e64  idm24848" tabind
│ │ │  00375dc0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  00375dd0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  00375de0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  00375df0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  00375e00: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00375e10: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -00375e20: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -00375e30: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00375e40: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00375e50: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00375e60: 6170 7365 2220 6964 3d22 6964 6d32 3438  apse" id="idm248
│ │ │ -00375e70: 3438 223e 3c70 7265 3e3c 636f 6465 3e0a  48"><pre><code>.
│ │ │ -00375e80: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ -00375e90: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ -00375ea0: 6420 3d20 5b22 6175 6469 7464 225d 0a3c  d = ["auditd"].<
│ │ │ -00375eb0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00375ec0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00375ed0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00375ee0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00375ef0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00375f00: 2223 6964 6d32 3438 3439 2220 7461 6269  "#idm24849" tabi
│ │ │ -00375f10: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00375f20: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00375f30: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00375f40: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00375f50: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00375f60: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00375f70: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00375f80: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00375f90: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00375fa0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00375fb0: 2269 646d 3234 3834 3922 3e3c 7461 626c  "idm24849"><tabl
│ │ │ -00375fc0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00375fd0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00375fe0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00375ff0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00376000: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00376010: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00376020: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00376030: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00376040: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00376050: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00376060: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00376070: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00376080: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00376090: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -003760a0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -003760b0: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ -003760c0: 655f 6175 6469 7464 0a0a 636c 6173 7320  e_auditd..class 
│ │ │ -003760d0: 656e 6162 6c65 5f61 7564 6974 6420 7b0a  enable_auditd {.
│ │ │ -003760e0: 2020 7365 7276 6963 6520 7b27 6175 6469    service {'audi
│ │ │ -003760f0: 7464 273a 0a20 2020 2065 6e61 626c 6520  td':.    enable 
│ │ │ -00376100: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00376110: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00376120: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00376130: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00376140: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00376150: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00376160: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00376170: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00376180: 2369 646d 3234 3835 3022 2074 6162 696e  #idm24850" tabin
│ │ │ -00376190: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -003761a0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -003761b0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -003761c0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -003761d0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -003761e0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -003761f0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00376200: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00376210: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00376220: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00376230: 2269 646d 3234 3835 3022 3e3c 7461 626c  "idm24850"><tabl
│ │ │ -00376240: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00376250: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00376260: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00376270: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00376280: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00376290: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -003762a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -003762b0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -003762c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -003762d0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -003762e0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -003762f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00376300: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00376310: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00376320: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00376330: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00376340: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00376350: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00376360: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -00376370: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -00376380: 202d 2043 4a49 532d 352e 342e 312e 310a   - CJIS-5.4.1.1.
│ │ │ -00376390: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -003763a0: 2d33 2e33 2e31 0a20 202d 204e 4953 542d  -3.3.1.  - NIST-
│ │ │ -003763b0: 3830 302d 3137 312d 332e 332e 320a 2020  800-171-3.3.2.  
│ │ │ -003763c0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -003763d0: 2e33 2e36 0a20 202d 204e 4953 542d 3830  .3.6.  - NIST-80
│ │ │ -003763e0: 302d 3533 2d41 432d 3228 6729 0a20 202d  0-53-AC-2(g).  -
│ │ │ -003763f0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ -00376400: 3628 3929 0a20 202d 204e 4953 542d 3830  6(9).  - NIST-80
│ │ │ -00376410: 302d 3533 2d41 552d 3130 0a20 202d 204e  0-53-AU-10.  - N
│ │ │ -00376420: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -00376430: 2863 290a 2020 2d20 4e49 5354 2d38 3030  (c).  - NIST-800
│ │ │ -00376440: 2d35 332d 4155 2d31 3428 3129 0a20 202d  -53-AU-14(1).  -
│ │ │ -00376450: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00376460: 3228 6429 0a20 202d 204e 4953 542d 3830  2(d).  - NIST-80
│ │ │ -00376470: 302d 3533 2d41 552d 330a 2020 2d20 4e49  0-53-AU-3.  - NI
│ │ │ -00376480: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00376490: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -003764a0: 332d 5349 2d34 2832 3329 0a20 202d 2050  3-SI-4(23).  - P
│ │ │ -003764b0: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -003764c0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -003764d0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -003764e0: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -003764f0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00376500: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00376510: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00376520: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00376530: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00376540: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ -00376550: 6572 7669 6365 5f61 7564 6974 645f 656e  ervice_auditd_en
│ │ │ -00376560: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ -00376570: 6e61 626c 6520 6175 6469 7464 2053 6572  nable auditd Ser
│ │ │ -00376580: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -00376590: 7276 6963 6520 6175 6469 7464 0a20 2062  rvice auditd.  b
│ │ │ -003765a0: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ -003765b0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -003765c0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ -003765d0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -003765e0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -003765f0: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ -00376600: 6c65 2061 7564 6974 6420 5365 7276 6963  le auditd Servic
│ │ │ -00376610: 6520 2d20 456e 6162 6c65 2053 6572 7669  e - Enable Servi
│ │ │ -00376620: 6365 2061 7564 6974 640a 2020 2020 616e  ce auditd.    an
│ │ │ -00376630: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ -00376640: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ -00376650: 653a 2061 7564 6974 640a 2020 2020 2020  e: auditd.      
│ │ │ -00376660: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ -00376670: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ -00376680: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ -00376690: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ -003766a0: 0a20 2020 202d 2027 2261 7564 6974 6422  .    - '"auditd"
│ │ │ -003766b0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -003766c0: 732e 7061 636b 6167 6573 270a 2020 7768  s.packages'.  wh
│ │ │ -003766d0: 656e 3a0a 2020 2d20 2722 6c69 6e75 782d  en:.  - '"linux-
│ │ │ -003766e0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -003766f0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00376700: 0a20 202d 2027 2261 7564 6974 6422 2069  .  - '"auditd" i
│ │ │ -00376710: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -00376720: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -00376730: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31  :.  - CJIS-5.4.1
│ │ │ -00376740: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ -00376750: 3137 312d 332e 332e 310a 2020 2d20 4e49  171-3.3.1.  - NI
│ │ │ -00376760: 5354 2d38 3030 2d31 3731 2d33 2e33 2e32  ST-800-171-3.3.2
│ │ │ -00376770: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -00376780: 312d 332e 332e 360a 2020 2d20 4e49 5354  1-3.3.6.  - NIST
│ │ │ -00376790: 2d38 3030 2d35 332d 4143 2d32 2867 290a  -800-53-AC-2(g).
│ │ │ -003767a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -003767b0: 4143 2d36 2839 290a 2020 2d20 4e49 5354  AC-6(9).  - NIST
│ │ │ -003767c0: 2d38 3030 2d35 332d 4155 2d31 300a 2020  -800-53-AU-10.  
│ │ │ -003767d0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -003767e0: 2d31 3228 6329 0a20 202d 204e 4953 542d  -12(c).  - NIST-
│ │ │ -003767f0: 3830 302d 3533 2d41 552d 3134 2831 290a  800-53-AU-14(1).
│ │ │ -00376800: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00376810: 4155 2d32 2864 290a 2020 2d20 4e49 5354  AU-2(d).  - NIST
│ │ │ -00376820: 2d38 3030 2d35 332d 4155 2d33 0a20 202d  -800-53-AU-3.  -
│ │ │ -00376830: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00376840: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -00376850: 302d 3533 2d53 492d 3428 3233 290a 2020  0-53-SI-4(23).  
│ │ │ -00376860: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ -00376870: 2e31 0a20 202d 2050 4349 2d44 5353 7634  .1.  - PCI-DSSv4
│ │ │ -00376880: 2d31 302e 320a 2020 2d20 5043 492d 4453  -10.2.  - PCI-DS
│ │ │ -00376890: 5376 342d 3130 2e32 2e31 0a20 202d 2065  Sv4-10.2.1.  - e
│ │ │ -003768a0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -003768b0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -003768c0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -003768d0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -003768e0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -003768f0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00376900: 2d20 7365 7276 6963 655f 6175 6469 7464  - service_auditd
│ │ │ -00376910: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +00375e10: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +00375e20: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +00375e30: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00375e40: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00375e50: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00375e60: 6964 6d32 3438 3438 223e 3c74 6162 6c65  idm24848"><table
│ │ │ +00375e70: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00375e80: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00375e90: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00375ea0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00375eb0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00375ec0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00375ed0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00375ee0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00375ef0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00375f00: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00375f10: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00375f20: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00375f30: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00375f40: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00375f50: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00375f60: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +00375f70: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00375f80: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +00375f90: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +00375fa0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00375fb0: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20  - CJIS-5.4.1.1. 
│ │ │ +00375fc0: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00375fd0: 332e 332e 310a 2020 2d20 4e49 5354 2d38  3.3.1.  - NIST-8
│ │ │ +00375fe0: 3030 2d31 3731 2d33 2e33 2e32 0a20 202d  00-171-3.3.2.  -
│ │ │ +00375ff0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +00376000: 332e 360a 2020 2d20 4e49 5354 2d38 3030  3.6.  - NIST-800
│ │ │ +00376010: 2d35 332d 4143 2d32 2867 290a 2020 2d20  -53-AC-2(g).  - 
│ │ │ +00376020: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00376030: 2839 290a 2020 2d20 4e49 5354 2d38 3030  (9).  - NIST-800
│ │ │ +00376040: 2d35 332d 4155 2d31 300a 2020 2d20 4e49  -53-AU-10.  - NI
│ │ │ +00376050: 5354 2d38 3030 2d35 332d 4155 2d31 3228  ST-800-53-AU-12(
│ │ │ +00376060: 6329 0a20 202d 204e 4953 542d 3830 302d  c).  - NIST-800-
│ │ │ +00376070: 3533 2d41 552d 3134 2831 290a 2020 2d20  53-AU-14(1).  - 
│ │ │ +00376080: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +00376090: 2864 290a 2020 2d20 4e49 5354 2d38 3030  (d).  - NIST-800
│ │ │ +003760a0: 2d35 332d 4155 2d33 0a20 202d 204e 4953  -53-AU-3.  - NIS
│ │ │ +003760b0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +003760c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +003760d0: 2d53 492d 3428 3233 290a 2020 2d20 5043  -SI-4(23).  - PC
│ │ │ +003760e0: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ +003760f0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +00376100: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +00376110: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ +00376120: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00376130: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00376140: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00376150: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00376160: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00376170: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ +00376180: 7276 6963 655f 6175 6469 7464 5f65 6e61  rvice_auditd_ena
│ │ │ +00376190: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ +003761a0: 6162 6c65 2061 7564 6974 6420 5365 7276  able auditd Serv
│ │ │ +003761b0: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ +003761c0: 7669 6365 2061 7564 6974 640a 2020 626c  vice auditd.  bl
│ │ │ +003761d0: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ +003761e0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +003761f0: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ +00376200: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00376210: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00376220: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ +00376230: 6520 6175 6469 7464 2053 6572 7669 6365  e auditd Service
│ │ │ +00376240: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ +00376250: 6520 6175 6469 7464 0a20 2020 2061 6e73  e auditd.    ans
│ │ │ +00376260: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +00376270: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +00376280: 3a20 6175 6469 7464 0a20 2020 2020 2065  : auditd.      e
│ │ │ +00376290: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +003762a0: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +003762b0: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +003762c0: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +003762d0: 2020 2020 2d20 2722 6175 6469 7464 2220      - '"auditd" 
│ │ │ +003762e0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +003762f0: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ +00376300: 6e3a 0a20 202d 2027 226c 696e 7578 2d62  n:.  - '"linux-b
│ │ │ +00376310: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00376320: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00376330: 2020 2d20 2722 6175 6469 7464 2220 696e    - '"auditd" in
│ │ │ +00376340: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00376350: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00376360: 0a20 202d 2043 4a49 532d 352e 342e 312e  .  - CJIS-5.4.1.
│ │ │ +00376370: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ +00376380: 3731 2d33 2e33 2e31 0a20 202d 204e 4953  71-3.3.1.  - NIS
│ │ │ +00376390: 542d 3830 302d 3137 312d 332e 332e 320a  T-800-171-3.3.2.
│ │ │ +003763a0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +003763b0: 2d33 2e33 2e36 0a20 202d 204e 4953 542d  -3.3.6.  - NIST-
│ │ │ +003763c0: 3830 302d 3533 2d41 432d 3228 6729 0a20  800-53-AC-2(g). 
│ │ │ +003763d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +003763e0: 432d 3628 3929 0a20 202d 204e 4953 542d  C-6(9).  - NIST-
│ │ │ +003763f0: 3830 302d 3533 2d41 552d 3130 0a20 202d  800-53-AU-10.  -
│ │ │ +00376400: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00376410: 3132 2863 290a 2020 2d20 4e49 5354 2d38  12(c).  - NIST-8
│ │ │ +00376420: 3030 2d35 332d 4155 2d31 3428 3129 0a20  00-53-AU-14(1). 
│ │ │ +00376430: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00376440: 552d 3228 6429 0a20 202d 204e 4953 542d  U-2(d).  - NIST-
│ │ │ +00376450: 3830 302d 3533 2d41 552d 330a 2020 2d20  800-53-AU-3.  - 
│ │ │ +00376460: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +00376470: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00376480: 2d35 332d 5349 2d34 2832 3329 0a20 202d  -53-SI-4(23).  -
│ │ │ +00376490: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +003764a0: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ +003764b0: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ +003764c0: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ +003764d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +003764e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +003764f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00376500: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00376510: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00376520: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00376530: 2073 6572 7669 6365 5f61 7564 6974 645f   service_auditd_
│ │ │ +00376540: 656e 6162 6c65 640a 3c2f 636f 6465 3e3c  enabled.</code><
│ │ │ +00376550: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00376560: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00376570: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00376580: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00376590: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ +003765a0: 3834 3922 2074 6162 696e 6465 783d 2230  849" tabindex="0
│ │ │ +003765b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +003765c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +003765d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +003765e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +003765f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00376600: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00376610: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00376620: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00376630: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00376640: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00376650: 2069 643d 2269 646d 3234 3834 3922 3e3c   id="idm24849"><
│ │ │ +00376660: 7072 653e 3c63 6f64 653e 0a5b 6375 7374  pre><code>.[cust
│ │ │ +00376670: 6f6d 697a 6174 696f 6e73 2e73 6572 7669  omizations.servi
│ │ │ +00376680: 6365 735d 0a65 6e61 626c 6564 203d 205b  ces].enabled = [
│ │ │ +00376690: 2261 7564 6974 6422 5d0a 3c2f 636f 6465  "auditd"].</code
│ │ │ +003766a0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +003766b0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +003766c0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +003766d0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +003766e0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +003766f0: 3234 3835 3022 2074 6162 696e 6465 783d  24850" tabindex=
│ │ │ +00376700: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00376710: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00376720: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00376730: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00376740: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00376750: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00376760: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00376770: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00376780: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00376790: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +003767a0: 3438 3530 223e 3c74 6162 6c65 2063 6c61  4850"><table cla
│ │ │ +003767b0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +003767c0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +003767d0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +003767e0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +003767f0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00376800: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00376810: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00376820: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00376830: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00376840: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00376850: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00376860: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00376870: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00376880: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00376890: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +003768a0: 636c 7564 6520 656e 6162 6c65 5f61 7564  clude enable_aud
│ │ │ +003768b0: 6974 640a 0a63 6c61 7373 2065 6e61 626c  itd..class enabl
│ │ │ +003768c0: 655f 6175 6469 7464 207b 0a20 2073 6572  e_auditd {.  ser
│ │ │ +003768d0: 7669 6365 207b 2761 7564 6974 6427 3a0a  vice {'auditd':.
│ │ │ +003768e0: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ +003768f0: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ +00376900: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ +00376910: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00376920: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00376930: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00376940: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00376950: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  00376960: 7461 626c 653e 3c2f 6469 763e 3c64 6976  table></div><div
│ │ │  00376970: 2069 643d 2272 6561 722d 6d61 7474 6572   id="rear-matter
│ │ │  00376980: 223e 3c64 6976 2063 6c61 7373 3d22 726f  "><div class="ro
│ │ │ ├── html2text {}
│ │ │ │ @@ -113,31 +113,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.14.2.7, A.15.2.1, A.8.2.3
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-7, PR.DS-1, PR.DS-6, PR.DS-8, PR.IP-1, PR.IP-3
│ │ │ │              _p_c_i_d_s_s         Req-11.5
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000445-GPOS-00199
│ │ │ │              _a_n_s_s_i          R76, R79
│ │ │ │              _p_c_i_d_s_s_4        11.5.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -180,14 +163,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  BBuuiilldd aanndd TTeesstt AAIIDDEE DDaattaabbaassee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Run the following command to generate a new database:
│ │ │ │  $ sudo aideinit
│ │ │ │  By default, the database will be written to the file /var/lib/aide/aide.db.new. Storing the
│ │ │ │  database, the configuration file /etc/aide.conf, and the binary /usr/sbin/aide (or hashes of these
│ │ │ │  files), in a secure location (such as on read-only media) provides additional assurance about their
│ │ │ │  integrity. The newly-generated database can be installed as follows:
│ │ │ │ @@ -586,31 +586,14 @@
│ │ │ │              _d_i_s_a    CCI-002235
│ │ │ │              _i_s_m     1382, 1384, 1386
│ │ │ │              _n_i_s_t    CM-6(a)
│ │ │ │  References: _o_s_p_p    FMT_MOF_EXT.1
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000324-GPOS-00125
│ │ │ │              _a_n_s_s_i   R33
│ │ │ │              _p_c_i_d_s_s_4 2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -651,14 +634,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "sudo"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  VVeerriiffyy GGrroouupp WWhhoo OOwwnnss //eettcc//ssuuddooeerrss..dd DDiirreeccttoorryy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To properly set the group owner of /etc/sudoers.d, run the command:
│ │ │ │  $ sudo chgrp root /etc/sudoers.d
│ │ │ │              The ownership of the /etc/sudoers.d directory by the root group is important because this
│ │ │ │  Rationale:  directory hosts sudo configuration. Protection of this directory is critical for system
│ │ │ │              security. Assigning the ownership to root ensures exclusive control of the sudo
│ │ │ │              configuration.
│ │ │ │ @@ -3221,31 +3221,14 @@
│ │ │ │  Rationale:  password in resisting attempts at guessing and brute-force attacks. "pwquality" enforces
│ │ │ │              complex password construction configuration and has the ability to limit brute-force
│ │ │ │              attacks on the system.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │  References: _d_i_s_a   CCI-000366
│ │ │ │              _o_s_-_s_r_g SRG-OS-000480-GPOS-00225
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3280,14 +3263,31 @@
│ │ │ │  q '^installed'; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-pwquality"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Protect Physical Console Access   Group contains 1 rule
│ │ │ │  _[_r_e_f_]   It is impossible to fully protect a system from an attacker with physical access, so securing
│ │ │ │  the space in which the system is located should be considered a necessary step. However, there are
│ │ │ │  some steps which, if taken, make it more difficult for an attacker to quickly or undetectably modify
│ │ │ │  a system from its console.
│ │ │ │  ****** RRuullee? ?  CCoonnffiigguurree LLooggiinndd ttoo tteerrmmiinnaattee iiddllee sseessssiioonnss aafftteerr cceerrttaaiinn ttiimmee ooff iinnaaccttiivviittyy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To configure logind service to terminate inactive user sessions after 600 seconds, edit the file /
│ │ │ │ @@ -4666,31 +4666,14 @@
│ │ │ │              Control system will be available.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_apparmor_installed
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002235
│ │ │ │  References: _o_s_-_s_r_g SRG-OS-000368-GPOS-00154, SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-
│ │ │ │                     OS-000312-GPOS-00124, SRG-OS-000324-GPOS-00125, SRG-OS-000370-GPOS-00155
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "apparmor"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_apparmor
│ │ │ │ -
│ │ │ │ -class install_apparmor {
│ │ │ │ -  package { 'apparmor':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Ensure apparmor is installed
│ │ │ │    package:
│ │ │ │ @@ -4713,44 +4696,44 @@
│ │ │ │  if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ -****** RRuullee? ?  IInnssttaallll tthhee ppaamm__aappppaarrmmoorr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The pam_apparmor package can be installed with the following command:
│ │ │ │ -$ apt-get install pam_apparmor
│ │ │ │ -Rationale:  Protection of system integrity using AppArmor depends on this package being installed.
│ │ │ │ -Severity:   medium
│ │ │ │ -Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_apparmor_installed
│ │ │ │ -            _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │ -            _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │ -                   SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │ -References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │ -                   000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │ -                   000480-GPOS-00232
│ │ │ │ -            _a_n_s_s_i  R45
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  
│ │ │ │  [[packages]]
│ │ │ │ -name = "libpam-apparmor"
│ │ │ │ +name = "apparmor"
│ │ │ │  version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-apparmor
│ │ │ │ +include install_apparmor
│ │ │ │  
│ │ │ │ -class install_libpam-apparmor {
│ │ │ │ -  package { 'libpam-apparmor':
│ │ │ │ +class install_apparmor {
│ │ │ │ +  package { 'apparmor':
│ │ │ │      ensure => 'installed',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  IInnssttaallll tthhee ppaamm__aappppaarrmmoorr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The pam_apparmor package can be installed with the following command:
│ │ │ │ +$ apt-get install pam_apparmor
│ │ │ │ +Rationale:  Protection of system integrity using AppArmor depends on this package being installed.
│ │ │ │ +Severity:   medium
│ │ │ │ +Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_apparmor_installed
│ │ │ │ +            _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │ +            _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │ +                   SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │ +References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │ +                   000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │ +                   000480-GPOS-00232
│ │ │ │ +            _a_n_s_s_i  R45
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Ensure libpam-apparmor is installed
│ │ │ │    package:
│ │ │ │ @@ -4780,14 +4763,31 @@
│ │ │ │  if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-apparmor"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-apparmor
│ │ │ │ +
│ │ │ │ +class install_libpam-apparmor {
│ │ │ │ +  package { 'libpam-apparmor':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnffoorrccee aallll AAppppAArrmmoorr PPrrooffiilleess ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  AppArmor profiles define what resources applications are able to access. To set all profiles to
│ │ │ │  enforce mode run the following command:
│ │ │ │  $ sudo aa-enforce /etc/apparmor.d/*
│ │ │ │  To list unconfined processes run the following command:
│ │ │ │  $ sudo apparmor_status | grep processes
│ │ │ │  Any unconfined processes may need to have a profile created or activated for them and then be
│ │ │ │ @@ -4957,31 +4957,14 @@
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │              _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │                     SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │  References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │                     000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │                     000480-GPOS-00232
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["apparmor"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_apparmor
│ │ │ │ -
│ │ │ │ -class enable_apparmor {
│ │ │ │ -  service {'apparmor':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  - name: Start apparmor.service
│ │ │ │    systemd:
│ │ │ │      name: apparmor.service
│ │ │ │      state: started
│ │ │ │      enabled: true
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │ @@ -4991,14 +4974,31 @@
│ │ │ │    - NIST-800-53-AC-6(8)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(2)
│ │ │ │    - NIST-800-53-CM-7(5)(b)
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - apparmor_configured
│ │ │ │    - medium_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["apparmor"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_apparmor
│ │ │ │ +
│ │ │ │ +class enable_apparmor {
│ │ │ │ +  service {'apparmor':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree AAppppAArrmmoorr iiss eennaabblleedd iinn tthhee bboooottllooaaddeerr ccoonnffiigguurraattiioonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Configure AppArmor to be enabled at boot time and verify that it has not been overwritten by the
│ │ │ │  bootloader boot parameters. Note: This recommendation is designed around the grub bootloader, if LILO
│ │ │ │  or another bootloader is in use in your environment, enact equivalent settings.
│ │ │ │  Rationale:  AppArmor must be enabled at boot time in your bootloader configuration to ensure that the
│ │ │ │              controls it provides are not overridden.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -9350,31 +9350,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │  References: _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.7
│ │ │ │              _a_n_s_s_i          R71
│ │ │ │              _p_c_i_d_s_s_4        10.5.1, 10.5
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -9417,14 +9400,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree LLooggrroottaattee RRuunnss PPeerriiooddiiccaallllyy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The logrotate utility allows for the automatic rotation of log files. The frequency of rotation is
│ │ │ │  specified in /etc/logrotate.conf, which triggers a cron task or a timer. To configure logrotate to
│ │ │ │  run daily, add or correct the following line in /etc/logrotate.conf:
│ │ │ │  # rotate log files frequency
│ │ │ │  daily
│ │ │ │              Log files that are not properly rotated run the risk of growing so large that they fill
│ │ │ │ @@ -9744,31 +9744,14 @@
│ │ │ │  Rationale:  The rsyslog-gnutls package provides Transport Layer Security (TLS) support for the
│ │ │ │              rsyslog daemon, which enables secure remote logging.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsyslog-gnutls_installed
│ │ │ │              _d_i_s_a   CCI-000366, CCI-000803
│ │ │ │  References: _o_s_-_s_r_g SRG-OS-000480-GPOS-00227, SRG-OS-000120-GPOS-00061
│ │ │ │              _a_n_s_s_i  R71
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog-gnutls"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog-gnutls
│ │ │ │ -
│ │ │ │ -class install_rsyslog-gnutls {
│ │ │ │ -  package { 'rsyslog-gnutls':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -9803,14 +9786,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog-gnutls"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog-gnutls"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog-gnutls
│ │ │ │ +
│ │ │ │ +class install_rsyslog-gnutls {
│ │ │ │ +  package { 'rsyslog-gnutls':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides system logging services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsyslog_installed
│ │ │ │              _c_i_s_-_c_s_c        1, 14, 15, 16, 3, 5, 6
│ │ │ │ @@ -9820,31 +9820,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024, SRG-OS-000480-GPOS-
│ │ │ │                             00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -9881,14 +9864,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 12. The rsyslog service can
│ │ │ │  be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging services, which are
│ │ │ │              essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -9902,31 +9902,14 @@
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.2.6.7, 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1, SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1, A.14.2.7,
│ │ │ │                             A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -9962,14 +9945,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Configuration and Firewalls   Group contains 8 groups and 53 rules
│ │ │ │  _[_r_e_f_]   Most systems must be connected to a network of some sort, and this brings with it the
│ │ │ │  substantial risk of network attack. This section discusses the security impact of decisions about
│ │ │ │  networking which must be made when configuring a system.
│ │ │ │  
│ │ │ │  This section also discusses firewalls, network access controls, and other network security
│ │ │ │  frameworks, which allow system-level rules to be written that can limit an attackers' ability to
│ │ │ │ @@ -26865,26 +26865,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │ @@ -26911,33 +26899,33 @@
│ │ │ │  # CAUTION: This remediation script will remove dhcp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on dhcp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "dhcp"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │ -Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │ -            disrupt network operation.
│ │ │ │ -Severity:   medium
│ │ │ │ -Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │ -References: _a_n_s_s_i R62
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_kea
│ │ │ │ +include remove_dhcp
│ │ │ │  
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │ +Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │ +            disrupt network operation.
│ │ │ │ +Severity:   medium
│ │ │ │ +Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │ +References: _a_n_s_s_i R62
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │ @@ -26959,14 +26947,26 @@
│ │ │ │  # CAUTION: This remediation script will remove kea
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on kea. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "kea"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Mail Server Software   Group contains 1 group and 3 rules
│ │ │ │  _[_r_e_f_]   Mail servers are used to send and receive email over the network. Mail is a very common
│ │ │ │  service, and Mail Transfer Agents (MTAs) are obvious targets of network attack. Ensure that systems
│ │ │ │  are not running MTAs unnecessarily, and configure needed MTAs as defensively as possible.
│ │ │ │  
│ │ │ │  Very few systems at any site should be configured to directly receive email over the network. Users
│ │ │ │  should instead use mail client programs to retrieve email from a central server that supports
│ │ │ │ @@ -27141,26 +27141,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227, SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -27207,14 +27195,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "sendmail"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 6 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a network. Computer clocks
│ │ │ │  are not very accurate, so time will drift unpredictably on unmanaged systems. Central time protocols
│ │ │ │  can be used both to ensure that time is consistent among a network of systems, and that their time is
│ │ │ │  consistent with the outside world.
│ │ │ │  
│ │ │ │  If every system on a network reliably reports the same time, then it is much easier to correlate log
│ │ │ │ @@ -27266,31 +27266,14 @@
│ │ │ │              _d_i_s_a    CCI-004923
│ │ │ │              _i_s_m     0988, 1405
│ │ │ │              _o_s_p_p    FMT_SMF_EXT.1
│ │ │ │  References: _p_c_i_d_s_s  Req-10.4
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000355-GPOS-00143
│ │ │ │              _a_n_s_s_i   R71
│ │ │ │              _p_c_i_d_s_s_4 10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -27331,14 +27314,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee tthhee NNTTPP DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Run the following command to determine the current status of the chrony service:
│ │ │ │  $ sudo systemctl is-active chrony
│ │ │ │  If the service is running, it should return the following:
│ │ │ │  active
│ │ │ │  Note: The chronyd daemon is enabled by default.
│ │ │ │  
│ │ │ │ @@ -27728,26 +27728,14 @@
│ │ │ │                             5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -27798,14 +27786,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "xinetd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   NIS   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Information Service (NIS), also known as 'Yellow Pages' (YP), and its successor
│ │ │ │  NIS+ have been made obsolete by Kerberos, LDAP, and other modern centralized authentication services.
│ │ │ │  NIS should not be used because it suffers from security problems inherent in its design, such as
│ │ │ │  inadequate protection of important authentication information.
│ │ │ │  ****** RRuullee? ?  RReemmoovvee NNIISS CClliieenntt ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The Network Information Service (NIS), formerly known as Yellow Pages, is a client-server directory
│ │ │ │ @@ -27817,26 +27817,14 @@
│ │ │ │              recommended that the service be removed.
│ │ │ │  Severity:   unknown
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_ypbind_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │ @@ -27860,14 +27848,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ypbind-mt
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypbind-mt. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypbind-mt"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll yyppsseerrvv PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ypserv package can be removed with the following command:
│ │ │ │  $ apt-get remove ypserv
│ │ │ │              The NIS service provides an unencrypted authentication service which does not provide for
│ │ │ │  Rationale:  the confidentiality and integrity of user passwords or the remote session. Removing the
│ │ │ │              ypserv package decreases the risk of the accidental (or intentional) activation of NIS or
│ │ │ │              NIS+ services.
│ │ │ │ @@ -27891,26 +27891,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │ @@ -27939,14 +27927,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ypserv
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypserv. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypserv"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Rlogin, Rsh, and Rexec   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Berkeley r-commands are legacy services which allow cleartext remote access and have an
│ │ │ │  insecure trust model.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll rrsshh--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsh-server package can be removed with the following command:
│ │ │ │  $ apt-get remove rsh-server
│ │ │ │              The rsh-server service provides unencrypted remote access service which does not provide
│ │ │ │ @@ -27974,26 +27974,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │ @@ -28021,14 +28009,26 @@
│ │ │ │  # CAUTION: This remediation script will remove rsh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll rrsshh PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsh package contains the client commands for the rsh services
│ │ │ │              These legacy clients contain numerous security exposures and have been replaced with the
│ │ │ │              more secure SSH package. Even if the server is removed, it is best to ensure the clients
│ │ │ │  Rationale:  are also removed to prevent users from inadvertently attempting to use these commands and
│ │ │ │              therefore exposing their credentials. Note that removing the rsh package removes the
│ │ │ │              clients for rsh,rcp, and rlogin.
│ │ │ │ @@ -28036,26 +28036,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsh_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │ @@ -28080,14 +28068,26 @@
│ │ │ │  # CAUTION: This remediation script will remove rsh
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Chat/Messaging Services   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The talk software makes it possible for users to send and receive messages across systems
│ │ │ │  through a terminal session.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttaallkk--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The talk-server package can be removed with the following command:
│ │ │ │   $ apt-get remove talk-server
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols for
│ │ │ │ @@ -28095,26 +28095,14 @@
│ │ │ │              intentional) activation of talk services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk-server_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │ @@ -28138,14 +28126,26 @@
│ │ │ │  # CAUTION: This remediation script will remove talk-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttaallkk PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The talk package contains the client program for the Internet talk protocol, which allows the user
│ │ │ │  to chat with other users on different systems. Talk is a communication program which copies lines
│ │ │ │  from one terminal to the terminal of another user. The talk package can be removed with the
│ │ │ │  following command:
│ │ │ │  $ apt-get remove talk
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols for
│ │ │ │ @@ -28153,26 +28153,14 @@
│ │ │ │              intentional) activation of talk client program.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │ @@ -28196,14 +28184,26 @@
│ │ │ │  # CAUTION: This remediation script will remove talk
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Telnet   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The telnet protocol does not provide confidentiality or integrity for information transmitted
│ │ │ │  on the network. This includes authentication information such as passwords. Organizations which use
│ │ │ │  telnet should be actively working to migrate to a more secure protocol.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tteellnneett--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet-server package can be removed with the following command:
│ │ │ │  $ apt-get remove telnet-server
│ │ │ │ @@ -28237,26 +28237,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │ @@ -28284,39 +28272,39 @@
│ │ │ │  # CAUTION: This remediation script will remove telnet-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  RReemmoovvee tteellnneett CClliieennttss ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet client allows users to start connections to other systems via the telnet protocol.
│ │ │ │              The telnet protocol is insecure and unencrypted. The use of an unencrypted transmission
│ │ │ │  Rationale:  medium could allow an unauthorized user to steal credentials. The ssh package provides an
│ │ │ │              encrypted session and stronger security and is included in Debian 12.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnet_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │ @@ -28341,14 +28329,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnet
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   TFTP Server   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   TFTP is a lightweight version of the FTP protocol which has traditionally been used to
│ │ │ │  configure networking equipment. However, TFTP provides little security, and modern versions of
│ │ │ │  networking operating systems frequently support configuration via SSH or other more secure protocols.
│ │ │ │  A TFTP server should be run only if no more secure method of supporting existing equipment can be
│ │ │ │  found.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttffttpp--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ @@ -28378,26 +28378,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │ @@ -28424,39 +28412,39 @@
│ │ │ │  # CAUTION: This remediation script will remove tftp-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  RReemmoovvee ttffttpp DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Trivial File Transfer Protocol (TFTP) is a simple file transfer protocol, typically used to
│ │ │ │  automatically transfer configuration or boot files between systems. TFTP does not support
│ │ │ │  authentication and can be easily hacked. The package tftp is a client program that allows for
│ │ │ │  connections to a tftp server.
│ │ │ │  Rationale:  It is recommended that TFTP be removed, unless there is a specific need for TFTP (such as
│ │ │ │              a boot server). In that case, use extreme caution when configuring the services.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_tftp_removed
│ │ │ │              _d_i_s_a    CCI-000197
│ │ │ │  References: _o_s_-_s_r_g  SRG-OS-000074-GPOS-00042
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │ @@ -28480,14 +28468,26 @@
│ │ │ │  # CAUTION: This remediation script will remove tftp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 10 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file transfer. SSH provides
│ │ │ │  confidentiality and integrity for data exchanged between two systems, as well as server
│ │ │ │  authentication, through the use of public key cryptography. The implementation included with the
│ │ │ │  system is called OpenSSH, and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM package openssh-server.
│ │ │ │  Group   Configure OpenSSH Server if Necessary   Group contains 1 rule
│ │ │ │ @@ -29231,23 +29231,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29331,14 +29322,23 @@
│ │ │ │          echo "Key-like file '$keyfile' is owned by an unexpected user:group combination"
│ │ │ │      fi
│ │ │ │  done
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  VVeerriiffyy PPeerrmmiissssiioonnss oonn SSSSHH SSeerrvveerr PPuubblliicc **..ppuubb KKeeyy FFiilleess ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To properly set the permissions of /etc/ssh/*.pub, run the command:
│ │ │ │  $ sudo chmod 0644 /etc/ssh/*.pub
│ │ │ │  Warning:  Remediation is not possible at bootable container build time because SSH host keys are
│ │ │ │  generated post-deployment.
│ │ │ │  Rationale:  If a public host key file is modified by an unauthorized user, the SSH service may be
│ │ │ │              compromised.
│ │ │ │ @@ -29358,23 +29358,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29453,14 +29444,23 @@
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex
│ │ │ │  '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   System Accounting with auditd   Group contains 8 groups and 52 rules
│ │ │ │  _[_r_e_f_]   The audit service provides substantial capabilities for recording system activities. By
│ │ │ │  default, the service audits about SELinux AVC denials and certain types of security-relevant events
│ │ │ │  such as system logins, account modifications, and authentication events performed by programs such as
│ │ │ │  sudo. Under its default configuration, auditd has modest disk space requirements, and should not
│ │ │ │  noticeably impact system performance.
│ │ │ │  
│ │ │ │ @@ -63765,31 +63765,14 @@
│ │ │ │              _o_s_-_s_r_g   SRG-OS-000122-GPOS-00063, SRG-OS-000254-GPOS-00095, SRG-OS-000255-GPOS-00096,
│ │ │ │                       SRG-OS-000337-GPOS-00129, SRG-OS-000348-GPOS-00136, SRG-OS-000349-GPOS-00137,
│ │ │ │                       SRG-OS-000350-GPOS-00138, SRG-OS-000351-GPOS-00139, SRG-OS-000352-GPOS-00140,
│ │ │ │                       SRG-OS-000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-000358-GPOS-00145,
│ │ │ │                       SRG-OS-000365-GPOS-00152, SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -63844,14 +63827,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing System, as it is
│ │ │ │  responsible for writing audit records to disk. The auditd service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be difficult to establish,
│ │ │ │              correlate, and investigate the events leading up to an outage or attack. Ensuring the
│ │ │ │ @@ -63901,31 +63901,14 @@
│ │ │ │                             GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-000353-GPOS-00141, SRG-OS-
│ │ │ │                             000354-GPOS-00142, SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-000990, SRG-APP-000508-CTR-
│ │ │ │                             001300, SRG-APP-000510-CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -63991,11 +63974,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_bp28_high.html
│ │ │ @@ -15042,185 +15042,185 @@
│ │ │  0003ac10: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  0003ac20: 743d 2223 6964 6d32 3638 3322 2074 6162  t="#idm2683" tab
│ │ │  0003ac30: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  0003ac40: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  0003ac50: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  0003ac60: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  0003ac70: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0003ac80: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0003ac90: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0003aca0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0003acb0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0003acc0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0003acd0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0003ace0: 3236 3833 223e 3c70 7265 3e3c 636f 6465  2683"><pre><code
│ │ │ -0003acf0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -0003ad00: 616d 6520 3d20 2261 6964 6522 0a76 6572  ame = "aide".ver
│ │ │ -0003ad10: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ -0003ad20: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0003ad30: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0003ad40: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0003ad50: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0003ad60: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0003ad70: 6d32 3638 3422 2074 6162 696e 6465 783d  m2684" tabindex=
│ │ │ -0003ad80: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0003ad90: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0003ada0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0003adb0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0003adc0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0003add0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -0003ade0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0003adf0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0003ae00: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0003ae10: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0003ae20: 3638 3422 3e3c 7461 626c 6520 636c 6173  684"><table clas
│ │ │ -0003ae30: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0003ae40: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0003ae50: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0003ae60: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0003ae70: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0003ae80: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0003ae90: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0003aea0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0003aeb0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0003aec0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0003aed0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0003aee0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0003aef0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -0003af00: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0003af10: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -0003af20: 6c75 6465 2069 6e73 7461 6c6c 5f61 6964  lude install_aid
│ │ │ -0003af30: 650a 0a63 6c61 7373 2069 6e73 7461 6c6c  e..class install
│ │ │ -0003af40: 5f61 6964 6520 7b0a 2020 7061 636b 6167  _aide {.  packag
│ │ │ -0003af50: 6520 7b20 2761 6964 6527 3a0a 2020 2020  e { 'aide':.    
│ │ │ -0003af60: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ -0003af70: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ -0003af80: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0003af90: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0003afa0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0003afb0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0003afc0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0003afd0: 3d22 2369 646d 3236 3835 2220 7461 6269  ="#idm2685" tabi
│ │ │ -0003afe0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0003aff0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0003b000: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0003b010: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0003b020: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0003b030: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0003b040: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0003b050: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0003b060: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0003b070: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0003b080: 3d22 6964 6d32 3638 3522 3e3c 7461 626c  ="idm2685"><tabl
│ │ │ -0003b090: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0003b0a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0003b0b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0003b0c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0003b0d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0003b0e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0003b0f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0003b100: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0003b110: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0003b120: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0003b130: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0003b140: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0003b150: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0003b160: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -0003b170: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0003b180: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -0003b190: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -0003b1a0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -0003b1b0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -0003b1c0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -0003b1d0: 202d 2043 4a49 532d 352e 3130 2e31 2e33   - CJIS-5.10.1.3
│ │ │ -0003b1e0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0003b1f0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -0003b200: 2d44 5353 2d52 6571 2d31 312e 350a 2020  -DSS-Req-11.5.  
│ │ │ -0003b210: 2d20 5043 492d 4453 5376 342d 3131 2e35  - PCI-DSSv4-11.5
│ │ │ -0003b220: 2e32 0a20 202d 2065 6e61 626c 655f 7374  .2.  - enable_st
│ │ │ -0003b230: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0003b240: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0003b250: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0003b260: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0003b270: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0003b280: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -0003b290: 655f 6169 6465 5f69 6e73 7461 6c6c 6564  e_aide_installed
│ │ │ -0003b2a0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0003b2b0: 2061 6964 6520 6973 2069 6e73 7461 6c6c   aide is install
│ │ │ -0003b2c0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -0003b2d0: 2020 6e61 6d65 3a20 6169 6465 0a20 2020    name: aide.   
│ │ │ -0003b2e0: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0003b2f0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0003b300: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0003b310: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0003b320: 0a20 2074 6167 733a 0a20 202d 2043 4a49  .  tags:.  - CJI
│ │ │ -0003b330: 532d 352e 3130 2e31 2e33 0a20 202d 204e  S-5.10.1.3.  - N
│ │ │ -0003b340: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0003b350: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ -0003b360: 6571 2d31 312e 350a 2020 2d20 5043 492d  eq-11.5.  - PCI-
│ │ │ -0003b370: 4453 5376 342d 3131 2e35 2e32 0a20 202d  DSSv4-11.5.2.  -
│ │ │ -0003b380: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0003b390: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0003b3a0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0003b3b0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -0003b3c0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -0003b3d0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0003b3e0: 2020 2d20 7061 636b 6167 655f 6169 6465    - package_aide
│ │ │ -0003b3f0: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ -0003b400: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0003b410: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0003b420: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0003b430: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0003b440: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0003b450: 6d32 3638 3622 2074 6162 696e 6465 783d  m2686" tabindex=
│ │ │ -0003b460: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0003b470: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0003b480: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0003b490: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0003b4a0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0003b4b0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -0003b4c0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -0003b4d0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0003b4e0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0003b4f0: 6170 7365 2220 6964 3d22 6964 6d32 3638  apse" id="idm268
│ │ │ -0003b500: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0003b510: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0003b520: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0003b530: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0003b540: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0003b550: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0003b560: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0003b570: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0003b580: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0003b590: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0003b5a0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0003b5b0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0003b5c0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0003b5d0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0003b5e0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0003b5f0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ -0003b600: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ -0003b610: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ -0003b620: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ -0003b630: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ -0003b640: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ -0003b650: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ -0003b660: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ -0003b670: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ -0003b680: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -0003b690: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ -0003b6a0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -0003b6b0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -0003b6c0: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ -0003b6d0: 202d 7920 2261 6964 6522 0a0a 656c 7365   -y "aide"..else
│ │ │ -0003b6e0: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ -0003b6f0: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ -0003b700: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ -0003b710: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ -0003b720: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +0003ac80: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0003ac90: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0003aca0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0003acb0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0003acc0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0003acd0: 643d 2269 646d 3236 3833 223e 3c74 6162  d="idm2683"><tab
│ │ │ +0003ace0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0003acf0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0003ad00: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0003ad10: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0003ad20: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0003ad30: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003ad40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0003ad50: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0003ad60: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0003ad70: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0003ad80: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0003ad90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0003ada0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0003adb0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0003adc0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0003add0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +0003ade0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +0003adf0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +0003ae00: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +0003ae10: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +0003ae20: 2020 2d20 434a 4953 2d35 2e31 302e 312e    - CJIS-5.10.1.
│ │ │ +0003ae30: 330a 2020 2d20 4e49 5354 2d38 3030 2d35  3.  - NIST-800-5
│ │ │ +0003ae40: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +0003ae50: 492d 4453 532d 5265 712d 3131 2e35 0a20  I-DSS-Req-11.5. 
│ │ │ +0003ae60: 202d 2050 4349 2d44 5353 7634 2d31 312e   - PCI-DSSv4-11.
│ │ │ +0003ae70: 352e 320a 2020 2d20 656e 6162 6c65 5f73  5.2.  - enable_s
│ │ │ +0003ae80: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0003ae90: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0003aea0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0003aeb0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0003aec0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0003aed0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0003aee0: 6765 5f61 6964 655f 696e 7374 616c 6c65  ge_aide_installe
│ │ │ +0003aef0: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0003af00: 6520 6169 6465 2069 7320 696e 7374 616c  e aide is instal
│ │ │ +0003af10: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ +0003af20: 2020 206e 616d 653a 2061 6964 650a 2020     name: aide.  
│ │ │ +0003af30: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +0003af40: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +0003af50: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +0003af60: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +0003af70: 270a 2020 7461 6773 3a0a 2020 2d20 434a  '.  tags:.  - CJ
│ │ │ +0003af80: 4953 2d35 2e31 302e 312e 330a 2020 2d20  IS-5.10.1.3.  - 
│ │ │ +0003af90: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0003afa0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ +0003afb0: 5265 712d 3131 2e35 0a20 202d 2050 4349  Req-11.5.  - PCI
│ │ │ +0003afc0: 2d44 5353 7634 2d31 312e 352e 320a 2020  -DSSv4-11.5.2.  
│ │ │ +0003afd0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0003afe0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0003aff0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0003b000: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +0003b010: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +0003b020: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0003b030: 0a20 202d 2070 6163 6b61 6765 5f61 6964  .  - package_aid
│ │ │ +0003b040: 655f 696e 7374 616c 6c65 640a 3c2f 636f  e_installed.</co
│ │ │ +0003b050: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0003b060: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0003b070: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0003b080: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0003b090: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0003b0a0: 646d 3236 3834 2220 7461 6269 6e64 6578  dm2684" tabindex
│ │ │ +0003b0b0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0003b0c0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0003b0d0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0003b0e0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0003b0f0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0003b100: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +0003b110: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +0003b120: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0003b130: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0003b140: 6c61 7073 6522 2069 643d 2269 646d 3236  lapse" id="idm26
│ │ │ +0003b150: 3834 223e 3c74 6162 6c65 2063 6c61 7373  84"><table class
│ │ │ +0003b160: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0003b170: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0003b180: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0003b190: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0003b1a0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0003b1b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0003b1c0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0003b1d0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0003b1e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0003b1f0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0003b200: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0003b210: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0003b220: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +0003b230: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0003b240: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ +0003b250: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ +0003b260: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ +0003b270: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ +0003b280: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ +0003b290: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ +0003b2a0: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ +0003b2b0: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ +0003b2c0: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ +0003b2d0: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ +0003b2e0: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ +0003b2f0: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ +0003b300: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +0003b310: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ +0003b320: 6c20 2d79 2022 6169 6465 220a 0a65 6c73  l -y "aide"..els
│ │ │ +0003b330: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ +0003b340: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ +0003b350: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ +0003b360: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ +0003b370: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +0003b380: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0003b390: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0003b3a0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0003b3b0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0003b3c0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0003b3d0: 6d32 3638 3522 2074 6162 696e 6465 783d  m2685" tabindex=
│ │ │ +0003b3e0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0003b3f0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0003b400: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0003b410: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0003b420: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0003b430: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +0003b440: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +0003b450: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0003b460: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0003b470: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0003b480: 6522 2069 643d 2269 646d 3236 3835 223e  e" id="idm2685">
│ │ │ +0003b490: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +0003b4a0: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +0003b4b0: 2261 6964 6522 0a76 6572 7369 6f6e 203d  "aide".version =
│ │ │ +0003b4c0: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │ +0003b4d0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0003b4e0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0003b4f0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0003b500: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0003b510: 6172 6765 743d 2223 6964 6d32 3638 3622  arget="#idm2686"
│ │ │ +0003b520: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0003b530: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0003b540: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0003b550: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0003b560: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0003b570: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0003b580: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +0003b590: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0003b5a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0003b5b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0003b5c0: 2220 6964 3d22 6964 6d32 3638 3622 3e3c  " id="idm2686"><
│ │ │ +0003b5d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0003b5e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0003b5f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0003b600: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0003b610: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0003b620: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0003b630: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003b640: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0003b650: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0003b660: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0003b670: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0003b680: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003b690: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0003b6a0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0003b6b0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0003b6c0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ +0003b6d0: 6e73 7461 6c6c 5f61 6964 650a 0a63 6c61  nstall_aide..cla
│ │ │ +0003b6e0: 7373 2069 6e73 7461 6c6c 5f61 6964 6520  ss install_aide 
│ │ │ +0003b6f0: 7b0a 2020 7061 636b 6167 6520 7b20 2761  {.  package { 'a
│ │ │ +0003b700: 6964 6527 3a0a 2020 2020 656e 7375 7265  ide':.    ensure
│ │ │ +0003b710: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ +0003b720: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  0003b730: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  0003b740: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  0003b750: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  0003b760: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  0003b770: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  0003b780: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  0003b790: 656e 745f 7275 6c65 5f61 6964 655f 6275  ent_rule_aide_bu
│ │ │ @@ -20226,182 +20226,182 @@
│ │ │  0004f010: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0004f020: 6964 6d33 3734 3922 2074 6162 696e 6465  idm3749" tabinde
│ │ │  0004f030: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0004f040: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0004f050: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0004f060: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0004f070: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0004f080: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -0004f090: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -0004f0a0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0004f0b0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0004f0c0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0004f0d0: 7073 6522 2069 643d 2269 646d 3337 3439  pse" id="idm3749
│ │ │ -0004f0e0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ -0004f0f0: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ -0004f100: 3d20 2273 7564 6f22 0a76 6572 7369 6f6e  = "sudo".version
│ │ │ -0004f110: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -0004f120: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -0004f130: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -0004f140: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -0004f150: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -0004f160: 2d74 6172 6765 743d 2223 6964 6d33 3735  -target="#idm375
│ │ │ -0004f170: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ -0004f180: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0004f190: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0004f1a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0004f1b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0004f1c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0004f1d0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -0004f1e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0004f1f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0004f200: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0004f210: 7365 2220 6964 3d22 6964 6d33 3735 3022  se" id="idm3750"
│ │ │ -0004f220: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0004f230: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0004f240: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0004f250: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0004f260: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0004f270: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0004f280: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0004f290: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0004f2a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0004f2b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0004f2c0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0004f2d0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0004f2e0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0004f2f0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0004f300: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0004f310: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -0004f320: 2069 6e73 7461 6c6c 5f73 7564 6f0a 0a63   install_sudo..c
│ │ │ -0004f330: 6c61 7373 2069 6e73 7461 6c6c 5f73 7564  lass install_sud
│ │ │ -0004f340: 6f20 7b0a 2020 7061 636b 6167 6520 7b20  o {.  package { 
│ │ │ -0004f350: 2773 7564 6f27 3a0a 2020 2020 656e 7375  'sudo':.    ensu
│ │ │ -0004f360: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -0004f370: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -0004f380: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0004f390: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0004f3a0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0004f3b0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0004f3c0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0004f3d0: 646d 3337 3531 2220 7461 6269 6e64 6578  dm3751" tabindex
│ │ │ -0004f3e0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0004f3f0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0004f400: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0004f410: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0004f420: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0004f430: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -0004f440: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -0004f450: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0004f460: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0004f470: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0004f480: 6d33 3735 3122 3e3c 7461 626c 6520 636c  m3751"><table cl
│ │ │ -0004f490: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0004f4a0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0004f4b0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0004f4c0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0004f4d0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0004f4e0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0004f4f0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0004f500: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0004f510: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0004f520: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0004f530: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0004f540: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0004f550: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -0004f560: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0004f570: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0004f580: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -0004f590: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -0004f5a0: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -0004f5b0: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -0004f5c0: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -0004f5d0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0004f5e0: 6129 0a20 202d 2050 4349 2d44 5353 7634  a).  - PCI-DSSv4
│ │ │ -0004f5f0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ -0004f600: 7634 2d32 2e32 2e36 0a20 202d 2065 6e61  v4-2.2.6.  - ena
│ │ │ -0004f610: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -0004f620: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -0004f630: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -0004f640: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -0004f650: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -0004f660: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -0004f670: 7061 636b 6167 655f 7375 646f 5f69 6e73  package_sudo_ins
│ │ │ -0004f680: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -0004f690: 456e 7375 7265 2073 7564 6f20 6973 2069  Ensure sudo is i
│ │ │ -0004f6a0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -0004f6b0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7375  ge:.    name: su
│ │ │ -0004f6c0: 646f 0a20 2020 2073 7461 7465 3a20 7072  do.    state: pr
│ │ │ -0004f6d0: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ -0004f6e0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -0004f6f0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -0004f700: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -0004f710: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0004f720: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -0004f730: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -0004f740: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ -0004f750: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0004f760: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0004f770: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0004f780: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -0004f790: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -0004f7a0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0004f7b0: 2020 2d20 7061 636b 6167 655f 7375 646f    - package_sudo
│ │ │ -0004f7c0: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ -0004f7d0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0004f7e0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0004f7f0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0004f800: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0004f810: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0004f820: 6d33 3735 3222 2074 6162 696e 6465 783d  m3752" tabindex=
│ │ │ -0004f830: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0004f840: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0004f850: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0004f860: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0004f870: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0004f880: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -0004f890: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -0004f8a0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0004f8b0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0004f8c0: 6170 7365 2220 6964 3d22 6964 6d33 3735  apse" id="idm375
│ │ │ -0004f8d0: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ -0004f8e0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0004f8f0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0004f900: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0004f910: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0004f920: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0004f930: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0004f940: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0004f950: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0004f960: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0004f970: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0004f980: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0004f990: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0004f9a0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0004f9b0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0004f9c0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ -0004f9d0: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ -0004f9e0: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ -0004f9f0: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ -0004fa00: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ -0004fa10: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ -0004fa20: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ -0004fa30: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ -0004fa40: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ -0004fa50: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -0004fa60: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ -0004fa70: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -0004fa80: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -0004fa90: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ -0004faa0: 202d 7920 2273 7564 6f22 0a0a 656c 7365   -y "sudo"..else
│ │ │ -0004fab0: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ -0004fac0: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ -0004fad0: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ -0004fae0: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ -0004faf0: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +0004f080: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0004f090: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0004f0a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0004f0b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0004f0c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0004f0d0: 646d 3337 3439 223e 3c74 6162 6c65 2063  dm3749"><table c
│ │ │ +0004f0e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0004f0f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0004f100: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0004f110: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0004f120: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0004f130: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0004f140: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0004f150: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0004f160: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0004f170: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0004f180: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0004f190: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0004f1a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +0004f1b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0004f1c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0004f1d0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +0004f1e0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +0004f1f0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +0004f200: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +0004f210: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +0004f220: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0004f230: 2861 290a 2020 2d20 5043 492d 4453 5376  (a).  - PCI-DSSv
│ │ │ +0004f240: 342d 322e 320a 2020 2d20 5043 492d 4453  4-2.2.  - PCI-DS
│ │ │ +0004f250: 5376 342d 322e 322e 360a 2020 2d20 656e  Sv4-2.2.6.  - en
│ │ │ +0004f260: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0004f270: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0004f280: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0004f290: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0004f2a0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0004f2b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0004f2c0: 2070 6163 6b61 6765 5f73 7564 6f5f 696e   package_sudo_in
│ │ │ +0004f2d0: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +0004f2e0: 2045 6e73 7572 6520 7375 646f 2069 7320   Ensure sudo is 
│ │ │ +0004f2f0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +0004f300: 6167 653a 0a20 2020 206e 616d 653a 2073  age:.    name: s
│ │ │ +0004f310: 7564 6f0a 2020 2020 7374 6174 653a 2070  udo.    state: p
│ │ │ +0004f320: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ +0004f330: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +0004f340: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +0004f350: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +0004f360: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0004f370: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +0004f380: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +0004f390: 492d 4453 5376 342d 322e 322e 360a 2020  I-DSSv4-2.2.6.  
│ │ │ +0004f3a0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0004f3b0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0004f3c0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0004f3d0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +0004f3e0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +0004f3f0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0004f400: 0a20 202d 2070 6163 6b61 6765 5f73 7564  .  - package_sud
│ │ │ +0004f410: 6f5f 696e 7374 616c 6c65 640a 3c2f 636f  o_installed.</co
│ │ │ +0004f420: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0004f430: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0004f440: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0004f450: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0004f460: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0004f470: 646d 3337 3530 2220 7461 6269 6e64 6578  dm3750" tabindex
│ │ │ +0004f480: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0004f490: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0004f4a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0004f4b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0004f4c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0004f4d0: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +0004f4e0: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +0004f4f0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0004f500: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0004f510: 6c61 7073 6522 2069 643d 2269 646d 3337  lapse" id="idm37
│ │ │ +0004f520: 3530 223e 3c74 6162 6c65 2063 6c61 7373  50"><table class
│ │ │ +0004f530: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0004f540: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0004f550: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0004f560: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0004f570: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0004f580: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0004f590: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0004f5a0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0004f5b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0004f5c0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0004f5d0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0004f5e0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0004f5f0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +0004f600: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0004f610: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ +0004f620: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ +0004f630: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ +0004f640: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ +0004f650: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ +0004f660: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ +0004f670: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ +0004f680: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ +0004f690: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ +0004f6a0: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ +0004f6b0: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ +0004f6c0: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ +0004f6d0: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +0004f6e0: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ +0004f6f0: 6c20 2d79 2022 7375 646f 220a 0a65 6c73  l -y "sudo"..els
│ │ │ +0004f700: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ +0004f710: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ +0004f720: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ +0004f730: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ +0004f740: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +0004f750: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0004f760: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0004f770: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0004f780: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0004f790: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0004f7a0: 6d33 3735 3122 2074 6162 696e 6465 783d  m3751" tabindex=
│ │ │ +0004f7b0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0004f7c0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0004f7d0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0004f7e0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0004f7f0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0004f800: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +0004f810: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +0004f820: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0004f830: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0004f840: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0004f850: 6522 2069 643d 2269 646d 3337 3531 223e  e" id="idm3751">
│ │ │ +0004f860: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +0004f870: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +0004f880: 2273 7564 6f22 0a76 6572 7369 6f6e 203d  "sudo".version =
│ │ │ +0004f890: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │ +0004f8a0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0004f8b0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0004f8c0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0004f8d0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0004f8e0: 6172 6765 743d 2223 6964 6d33 3735 3222  arget="#idm3752"
│ │ │ +0004f8f0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0004f900: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0004f910: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0004f920: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0004f930: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0004f940: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0004f950: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +0004f960: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0004f970: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0004f980: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0004f990: 2220 6964 3d22 6964 6d33 3735 3222 3e3c  " id="idm3752"><
│ │ │ +0004f9a0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0004f9b0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0004f9c0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0004f9d0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0004f9e0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0004f9f0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0004fa00: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0004fa10: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0004fa20: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0004fa30: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0004fa40: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0004fa50: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0004fa60: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0004fa70: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0004fa80: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0004fa90: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ +0004faa0: 6e73 7461 6c6c 5f73 7564 6f0a 0a63 6c61  nstall_sudo..cla
│ │ │ +0004fab0: 7373 2069 6e73 7461 6c6c 5f73 7564 6f20  ss install_sudo 
│ │ │ +0004fac0: 7b0a 2020 7061 636b 6167 6520 7b20 2773  {.  package { 's
│ │ │ +0004fad0: 7564 6f27 3a0a 2020 2020 656e 7375 7265  udo':.    ensure
│ │ │ +0004fae0: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ +0004faf0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  0004fb00: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  0004fb10: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  0004fb20: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  0004fb30: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  0004fb40: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  0004fb50: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  0004fb60: 656e 745f 7275 6c65 5f64 6972 6563 746f  ent_rule_directo
│ │ │ @@ -32852,181 +32852,181 @@
│ │ │  00080530: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00080540: 6964 6d34 3337 3022 2074 6162 696e 6465  idm4370" tabinde
│ │ │  00080550: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00080560: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  00080570: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00080580: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00080590: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000805a0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -000805b0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -000805c0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -000805d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -000805e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000805f0: 7073 6522 2069 643d 2269 646d 3433 3730  pse" id="idm4370
│ │ │ -00080600: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ -00080610: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ -00080620: 3d20 226c 6962 7061 6d2d 7077 7175 616c  = "libpam-pwqual
│ │ │ -00080630: 6974 7922 0a76 6572 7369 6f6e 203d 2022  ity".version = "
│ │ │ -00080640: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ -00080650: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00080660: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00080670: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00080680: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00080690: 6765 743d 2223 6964 6d34 3337 3122 2074  get="#idm4371" t
│ │ │ -000806a0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -000806b0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -000806c0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -000806d0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -000806e0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -000806f0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00080700: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00080710: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00080720: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00080730: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00080740: 6964 3d22 6964 6d34 3337 3122 3e3c 7461  id="idm4371"><ta
│ │ │ -00080750: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00080760: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00080770: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00080780: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00080790: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -000807a0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000807b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000807c0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000807d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000807e0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000807f0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00080800: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00080810: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00080820: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00080830: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00080840: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ -00080850: 7461 6c6c 5f6c 6962 7061 6d2d 7077 7175  tall_libpam-pwqu
│ │ │ -00080860: 616c 6974 790a 0a63 6c61 7373 2069 6e73  ality..class ins
│ │ │ -00080870: 7461 6c6c 5f6c 6962 7061 6d2d 7077 7175  tall_libpam-pwqu
│ │ │ -00080880: 616c 6974 7920 7b0a 2020 7061 636b 6167  ality {.  packag
│ │ │ -00080890: 6520 7b20 276c 6962 7061 6d2d 7077 7175  e { 'libpam-pwqu
│ │ │ -000808a0: 616c 6974 7927 3a0a 2020 2020 656e 7375  ality':.    ensu
│ │ │ -000808b0: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -000808c0: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -000808d0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000808e0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000808f0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00080900: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00080910: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00080920: 646d 3433 3732 2220 7461 6269 6e64 6578  dm4372" tabindex
│ │ │ -00080930: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00080940: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00080950: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00080960: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00080970: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00080980: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00080990: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000809a0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000809b0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000809c0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000809d0: 6d34 3337 3222 3e3c 7461 626c 6520 636c  m4372"><table cl
│ │ │ -000809e0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000809f0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00080a00: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00080a10: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00080a20: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00080a30: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00080a40: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00080a50: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00080a60: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00080a70: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00080a80: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00080a90: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00080aa0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00080ab0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00080ac0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00080ad0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00080ae0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00080af0: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00080b00: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00080b10: 746f 0a20 2074 6167 733a 0a20 202d 2065  to.  tags:.  - e
│ │ │ -00080b20: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00080b30: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00080b40: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00080b50: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00080b60: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00080b70: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00080b80: 2d20 7061 636b 6167 655f 7061 6d5f 7077  - package_pam_pw
│ │ │ -00080b90: 7175 616c 6974 795f 696e 7374 616c 6c65  quality_installe
│ │ │ -00080ba0: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ -00080bb0: 6520 6c69 6270 616d 2d70 7771 7561 6c69  e libpam-pwquali
│ │ │ -00080bc0: 7479 2069 7320 696e 7374 616c 6c65 640a  ty is installed.
│ │ │ -00080bd0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -00080be0: 616d 653a 206c 6962 7061 6d2d 7077 7175  ame: libpam-pwqu
│ │ │ -00080bf0: 616c 6974 790a 2020 2020 7374 6174 653a  ality.    state:
│ │ │ -00080c00: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ -00080c10: 2027 226c 6962 7061 6d2d 7275 6e74 696d   '"libpam-runtim
│ │ │ -00080c20: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00080c30: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00080c40: 7461 6773 3a0a 2020 2d20 656e 6162 6c65  tags:.  - enable
│ │ │ -00080c50: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00080c60: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00080c70: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00080c80: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00080c90: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00080ca0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00080cb0: 6b61 6765 5f70 616d 5f70 7771 7561 6c69  kage_pam_pwquali
│ │ │ -00080cc0: 7479 5f69 6e73 7461 6c6c 6564 0a3c 2f63  ty_installed.</c
│ │ │ -00080cd0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00080ce0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00080cf0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00080d00: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00080d10: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00080d20: 6964 6d34 3337 3322 2074 6162 696e 6465  idm4373" tabinde
│ │ │ -00080d30: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00080d40: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00080d50: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00080d60: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00080d70: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00080d80: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -00080d90: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -00080da0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00080db0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00080dc0: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ -00080dd0: 3337 3322 3e3c 7461 626c 6520 636c 6173  373"><table clas
│ │ │ -00080de0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00080df0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00080e00: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00080e10: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00080e20: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00080e30: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00080e40: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00080e50: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00080e60: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00080e70: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00080e80: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00080e90: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00080ea0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00080eb0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00080ec0: 653e 3c70 7265 3e3c 636f 6465 3e23 2052  e><pre><code># R
│ │ │ -00080ed0: 656d 6564 6961 7469 6f6e 2069 7320 6170  emediation is ap
│ │ │ -00080ee0: 706c 6963 6162 6c65 206f 6e6c 7920 696e  plicable only in
│ │ │ -00080ef0: 2063 6572 7461 696e 2070 6c61 7466 6f72   certain platfor
│ │ │ -00080f00: 6d73 0a69 6620 6470 6b67 2d71 7565 7279  ms.if dpkg-query
│ │ │ -00080f10: 202d 2d73 686f 7720 2d2d 7368 6f77 666f   --show --showfo
│ │ │ -00080f20: 726d 6174 3d27 247b 6462 3a53 7461 7475  rmat='${db:Statu
│ │ │ -00080f30: 732d 5374 6174 7573 7d5c 6e27 2027 6c69  s-Status}\n' 'li
│ │ │ -00080f40: 6270 616d 2d72 756e 7469 6d65 2720 3226  bpam-runtime' 2&
│ │ │ -00080f50: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ -00080f60: 7265 7020 2d71 2027 5e69 6e73 7461 6c6c  rep -q '^install
│ │ │ -00080f70: 6564 273b 2074 6865 6e0a 0a44 4542 4941  ed'; then..DEBIA
│ │ │ -00080f80: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -00080f90: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -00080fa0: 7420 696e 7374 616c 6c20 2d79 2022 6c69  t install -y "li
│ │ │ -00080fb0: 6270 616d 2d70 7771 7561 6c69 7479 220a  bpam-pwquality".
│ │ │ -00080fc0: 0a65 6c73 650a 2020 2020 2667 743b 2661  .else.    &gt;&a
│ │ │ -00080fd0: 6d70 3b32 2065 6368 6f20 2752 656d 6564  mp;2 echo 'Remed
│ │ │ -00080fe0: 6961 7469 6f6e 2069 7320 6e6f 7420 6170  iation is not ap
│ │ │ -00080ff0: 706c 6963 6162 6c65 2c20 6e6f 7468 696e  plicable, nothin
│ │ │ -00081000: 6720 7761 7320 646f 6e65 270a 6669 0a3c  g was done'.fi.<
│ │ │ +000805a0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +000805b0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +000805c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000805d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000805e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000805f0: 646d 3433 3730 223e 3c74 6162 6c65 2063  dm4370"><table c
│ │ │ +00080600: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00080610: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00080620: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00080630: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00080640: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00080650: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00080660: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00080670: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00080680: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00080690: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +000806a0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +000806b0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000806c0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000806d0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000806e0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000806f0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00080700: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00080710: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00080720: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00080730: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00080740: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00080750: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00080760: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00080770: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00080780: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00080790: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000807a0: 202d 2070 6163 6b61 6765 5f70 616d 5f70   - package_pam_p
│ │ │ +000807b0: 7771 7561 6c69 7479 5f69 6e73 7461 6c6c  wquality_install
│ │ │ +000807c0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +000807d0: 7265 206c 6962 7061 6d2d 7077 7175 616c  re libpam-pwqual
│ │ │ +000807e0: 6974 7920 6973 2069 6e73 7461 6c6c 6564  ity is installed
│ │ │ +000807f0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00080800: 6e61 6d65 3a20 6c69 6270 616d 2d70 7771  name: libpam-pwq
│ │ │ +00080810: 7561 6c69 7479 0a20 2020 2073 7461 7465  uality.    state
│ │ │ +00080820: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ +00080830: 3a20 2722 6c69 6270 616d 2d72 756e 7469  : '"libpam-runti
│ │ │ +00080840: 6d65 2220 696e 2061 6e73 6962 6c65 5f66  me" in ansible_f
│ │ │ +00080850: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00080860: 2074 6167 733a 0a20 202d 2065 6e61 626c   tags:.  - enabl
│ │ │ +00080870: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00080880: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00080890: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +000808a0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +000808b0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +000808c0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +000808d0: 636b 6167 655f 7061 6d5f 7077 7175 616c  ckage_pam_pwqual
│ │ │ +000808e0: 6974 795f 696e 7374 616c 6c65 640a 3c2f  ity_installed.</
│ │ │ +000808f0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00080900: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00080910: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00080920: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00080930: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00080940: 2369 646d 3433 3731 2220 7461 6269 6e64  #idm4371" tabind
│ │ │ +00080950: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00080960: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00080970: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00080980: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00080990: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000809a0: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +000809b0: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +000809c0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000809d0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +000809e0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +000809f0: 3433 3731 223e 3c74 6162 6c65 2063 6c61  4371"><table cla
│ │ │ +00080a00: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00080a10: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00080a20: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00080a30: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00080a40: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00080a50: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00080a60: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00080a70: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00080a80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00080a90: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00080aa0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00080ab0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00080ac0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00080ad0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00080ae0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ +00080af0: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ +00080b00: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ +00080b10: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ +00080b20: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ +00080b30: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ +00080b40: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ +00080b50: 7573 2d53 7461 7475 737d 5c6e 2720 276c  us-Status}\n' 'l
│ │ │ +00080b60: 6962 7061 6d2d 7275 6e74 696d 6527 2032  ibpam-runtime' 2
│ │ │ +00080b70: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20  &gt;/dev/null | 
│ │ │ +00080b80: 6772 6570 202d 7120 275e 696e 7374 616c  grep -q '^instal
│ │ │ +00080b90: 6c65 6427 3b20 7468 656e 0a0a 4445 4249  led'; then..DEBI
│ │ │ +00080ba0: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +00080bb0: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +00080bc0: 6574 2069 6e73 7461 6c6c 202d 7920 226c  et install -y "l
│ │ │ +00080bd0: 6962 7061 6d2d 7077 7175 616c 6974 7922  ibpam-pwquality"
│ │ │ +00080be0: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ +00080bf0: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ +00080c00: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ +00080c10: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ +00080c20: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +00080c30: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00080c40: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00080c50: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00080c60: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00080c70: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00080c80: 3d22 2369 646d 3433 3732 2220 7461 6269  ="#idm4372" tabi
│ │ │ +00080c90: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00080ca0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00080cb0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00080cc0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00080cd0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00080ce0: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +00080cf0: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +00080d00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00080d10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00080d20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00080d30: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ +00080d40: 3337 3222 3e3c 7072 653e 3c63 6f64 653e  372"><pre><code>
│ │ │ +00080d50: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +00080d60: 6d65 203d 2022 6c69 6270 616d 2d70 7771  me = "libpam-pwq
│ │ │ +00080d70: 7561 6c69 7479 220a 7665 7273 696f 6e20  uality".version 
│ │ │ +00080d80: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ +00080d90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00080da0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00080db0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00080dc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00080dd0: 7461 7267 6574 3d22 2369 646d 3433 3733  target="#idm4373
│ │ │ +00080de0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00080df0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00080e00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00080e10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00080e20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00080e30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00080e40: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00080e50: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00080e60: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00080e70: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00080e80: 6522 2069 643d 2269 646d 3433 3733 223e  e" id="idm4373">
│ │ │ +00080e90: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00080ea0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00080eb0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00080ec0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00080ed0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00080ee0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00080ef0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00080f00: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00080f10: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00080f20: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00080f30: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00080f40: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00080f50: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00080f60: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00080f70: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00080f80: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00080f90: 696e 7374 616c 6c5f 6c69 6270 616d 2d70  install_libpam-p
│ │ │ +00080fa0: 7771 7561 6c69 7479 0a0a 636c 6173 7320  wquality..class 
│ │ │ +00080fb0: 696e 7374 616c 6c5f 6c69 6270 616d 2d70  install_libpam-p
│ │ │ +00080fc0: 7771 7561 6c69 7479 207b 0a20 2070 6163  wquality {.  pac
│ │ │ +00080fd0: 6b61 6765 207b 2027 6c69 6270 616d 2d70  kage { 'libpam-p
│ │ │ +00080fe0: 7771 7561 6c69 7479 273a 0a20 2020 2065  wquality':.    e
│ │ │ +00080ff0: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +00081000: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │  00081010: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00081020: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  00081030: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  00081040: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  00081050: 6461 7461 2d74 742d 6964 3d22 6368 696c  data-tt-id="chil
│ │ │  00081060: 6472 656e 2d78 6363 6466 5f6f 7267 2e73  dren-xccdf_org.s
│ │ │  00081070: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │ @@ -39567,164 +39567,164 @@
│ │ │  0009a8e0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  0009a8f0: 743d 2223 6964 6d37 3638 3222 2074 6162  t="#idm7682" tab
│ │ │  0009a900: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  0009a910: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  0009a920: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  0009a930: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  0009a940: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0009a950: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0009a960: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0009a970: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0009a980: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0009a990: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0009a9a0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0009a9b0: 3736 3832 223e 3c70 7265 3e3c 636f 6465  7682"><pre><code
│ │ │ -0009a9c0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -0009a9d0: 616d 6520 3d20 2261 7070 6172 6d6f 7222  ame = "apparmor"
│ │ │ -0009a9e0: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ -0009a9f0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0009aa00: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0009aa10: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0009aa20: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0009aa30: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0009aa40: 2223 6964 6d37 3638 3322 2074 6162 696e  "#idm7683" tabin
│ │ │ -0009aa50: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0009aa60: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0009aa70: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0009aa80: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0009aa90: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0009aaa0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -0009aab0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -0009aac0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0009aad0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0009aae0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0009aaf0: 6964 6d37 3638 3322 3e3c 7461 626c 6520  idm7683"><table 
│ │ │ -0009ab00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0009ab10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0009ab20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0009ab30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0009ab40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0009ab50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0009ab60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0009ab70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0009ab80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0009ab90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0009aba0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0009abb0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0009abc0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0009abd0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0009abe0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0009abf0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0009ac00: 5f61 7070 6172 6d6f 720a 0a63 6c61 7373  _apparmor..class
│ │ │ -0009ac10: 2069 6e73 7461 6c6c 5f61 7070 6172 6d6f   install_apparmo
│ │ │ -0009ac20: 7220 7b0a 2020 7061 636b 6167 6520 7b20  r {.  package { 
│ │ │ -0009ac30: 2761 7070 6172 6d6f 7227 3a0a 2020 2020  'apparmor':.    
│ │ │ -0009ac40: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ -0009ac50: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ -0009ac60: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0009ac70: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0009ac80: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0009ac90: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0009aca0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0009acb0: 3d22 2369 646d 3736 3834 2220 7461 6269  ="#idm7684" tabi
│ │ │ -0009acc0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0009acd0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0009ace0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0009acf0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0009ad00: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0009ad10: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0009ad20: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0009ad30: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0009ad40: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0009ad50: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0009ad60: 3d22 6964 6d37 3638 3422 3e3c 7461 626c  ="idm7684"><tabl
│ │ │ -0009ad70: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0009ad80: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0009ad90: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0009ada0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0009adb0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0009adc0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0009add0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0009ade0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0009adf0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0009ae00: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0009ae10: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0009ae20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0009ae30: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0009ae40: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -0009ae50: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0009ae60: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ -0009ae70: 6520 6170 7061 726d 6f72 2069 7320 696e  e apparmor is in
│ │ │ -0009ae80: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -0009ae90: 653a 0a20 2020 206e 616d 653a 2061 7070  e:.    name: app
│ │ │ -0009aea0: 6172 6d6f 720a 2020 2020 7374 6174 653a  armor.    state:
│ │ │ -0009aeb0: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ -0009aec0: 2061 6e73 6962 6c65 5f76 6972 7475 616c   ansible_virtual
│ │ │ -0009aed0: 697a 6174 696f 6e5f 7479 7065 206e 6f74  ization_type not
│ │ │ -0009aee0: 2069 6e20 5b22 646f 636b 6572 222c 2022   in ["docker", "
│ │ │ -0009aef0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20  lxc", "openvz", 
│ │ │ -0009af00: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461  "podman", "conta
│ │ │ -0009af10: 696e 6572 225d 0a20 2074 6167 733a 0a20  iner"].  tags:. 
│ │ │ -0009af20: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -0009af30: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -0009af40: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0009af50: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -0009af60: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -0009af70: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0009af80: 640a 2020 2d20 7061 636b 6167 655f 6170  d.  - package_ap
│ │ │ -0009af90: 7061 726d 6f72 5f69 6e73 7461 6c6c 6564  parmor_installed
│ │ │ -0009afa0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0009afb0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0009afc0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0009afd0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0009afe0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0009aff0: 743d 2223 6964 6d37 3638 3522 2074 6162  t="#idm7685" tab
│ │ │ -0009b000: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0009b010: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0009b020: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0009b030: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0009b040: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0009b050: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -0009b060: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -0009b070: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0009b080: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0009b090: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0009b0a0: 6964 6d37 3638 3522 3e3c 7461 626c 6520  idm7685"><table 
│ │ │ -0009b0b0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0009b0c0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0009b0d0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0009b0e0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0009b0f0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0009b100: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0009b110: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0009b120: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0009b130: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0009b140: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0009b150: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0009b160: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0009b170: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0009b180: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0009b190: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0009b1a0: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ -0009b1b0: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ -0009b1c0: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ -0009b1d0: 7466 6f72 6d73 0a69 6620 5b20 2120 2d66  tforms.if [ ! -f
│ │ │ -0009b1e0: 202f 2e64 6f63 6b65 7265 6e76 205d 2026   /.dockerenv ] &
│ │ │ -0009b1f0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66  amp;&amp; [ ! -f
│ │ │ -0009b200: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572   /run/.container
│ │ │ -0009b210: 656e 7620 5d3b 2074 6865 6e0a 0a44 4542  env ]; then..DEB
│ │ │ -0009b220: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -0009b230: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -0009b240: 6765 7420 696e 7374 616c 6c20 2d79 2022  get install -y "
│ │ │ -0009b250: 6170 7061 726d 6f72 220a 0a65 6c73 650a  apparmor"..else.
│ │ │ -0009b260: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -0009b270: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -0009b280: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -0009b290: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -0009b2a0: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0009a950: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0009a960: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0009a970: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0009a980: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0009a990: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0009a9a0: 643d 2269 646d 3736 3832 223e 3c74 6162  d="idm7682"><tab
│ │ │ +0009a9b0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0009a9c0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0009a9d0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0009a9e0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0009a9f0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0009aa00: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0009aa10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0009aa20: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0009aa30: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0009aa40: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0009aa50: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0009aa60: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0009aa70: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0009aa80: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0009aa90: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0009aaa0: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +0009aab0: 7265 2061 7070 6172 6d6f 7220 6973 2069  re apparmor is i
│ │ │ +0009aac0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ +0009aad0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6170  ge:.    name: ap
│ │ │ +0009aae0: 7061 726d 6f72 0a20 2020 2073 7461 7465  parmor.    state
│ │ │ +0009aaf0: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ +0009ab00: 3a20 616e 7369 626c 655f 7669 7274 7561  : ansible_virtua
│ │ │ +0009ab10: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f  lization_type no
│ │ │ +0009ab20: 7420 696e 205b 2264 6f63 6b65 7222 2c20  t in ["docker", 
│ │ │ +0009ab30: 226c 7863 222c 2022 6f70 656e 767a 222c  "lxc", "openvz",
│ │ │ +0009ab40: 2022 706f 646d 616e 222c 2022 636f 6e74   "podman", "cont
│ │ │ +0009ab50: 6169 6e65 7222 5d0a 2020 7461 6773 3a0a  ainer"].  tags:.
│ │ │ +0009ab60: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +0009ab70: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +0009ab80: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0009ab90: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +0009aba0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +0009abb0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +0009abc0: 6564 0a20 202d 2070 6163 6b61 6765 5f61  ed.  - package_a
│ │ │ +0009abd0: 7070 6172 6d6f 725f 696e 7374 616c 6c65  pparmor_installe
│ │ │ +0009abe0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0009abf0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0009ac00: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0009ac10: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0009ac20: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0009ac30: 6574 3d22 2369 646d 3736 3833 2220 7461  et="#idm7683" ta
│ │ │ +0009ac40: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0009ac50: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0009ac60: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0009ac70: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0009ac80: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0009ac90: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0009aca0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ +0009acb0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0009acc0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0009acd0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0009ace0: 2269 646d 3736 3833 223e 3c74 6162 6c65  "idm7683"><table
│ │ │ +0009acf0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0009ad00: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0009ad10: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0009ad20: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0009ad30: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0009ad40: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0009ad50: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0009ad60: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0009ad70: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0009ad80: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0009ad90: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0009ada0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0009adb0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0009adc0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0009add0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0009ade0: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ +0009adf0: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ +0009ae00: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ +0009ae10: 6174 666f 726d 730a 6966 205b 2021 202d  atforms.if [ ! -
│ │ │ +0009ae20: 6620 2f2e 646f 636b 6572 656e 7620 5d20  f /.dockerenv ] 
│ │ │ +0009ae30: 2661 6d70 3b26 616d 703b 205b 2021 202d  &amp;&amp; [ ! -
│ │ │ +0009ae40: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65  f /run/.containe
│ │ │ +0009ae50: 7265 6e76 205d 3b20 7468 656e 0a0a 4445  renv ]; then..DE
│ │ │ +0009ae60: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +0009ae70: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +0009ae80: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ +0009ae90: 2261 7070 6172 6d6f 7222 0a0a 656c 7365  "apparmor"..else
│ │ │ +0009aea0: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +0009aeb0: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +0009aec0: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +0009aed0: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +0009aee0: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +0009aef0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0009af00: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0009af10: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0009af20: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0009af30: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0009af40: 3736 3834 2220 7461 6269 6e64 6578 3d22  7684" tabindex="
│ │ │ +0009af50: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0009af60: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0009af70: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0009af80: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0009af90: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0009afa0: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +0009afb0: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +0009afc0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0009afd0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0009afe0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0009aff0: 2220 6964 3d22 6964 6d37 3638 3422 3e3c  " id="idm7684"><
│ │ │ +0009b000: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ +0009b010: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ +0009b020: 6170 7061 726d 6f72 220a 7665 7273 696f  apparmor".versio
│ │ │ +0009b030: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ +0009b040: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0009b050: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0009b060: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0009b070: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0009b080: 612d 7461 7267 6574 3d22 2369 646d 3736  a-target="#idm76
│ │ │ +0009b090: 3835 2220 7461 6269 6e64 6578 3d22 3022  85" tabindex="0"
│ │ │ +0009b0a0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0009b0b0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0009b0c0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0009b0d0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0009b0e0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0009b0f0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +0009b100: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0009b110: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0009b120: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0009b130: 7073 6522 2069 643d 2269 646d 3736 3835  pse" id="idm7685
│ │ │ +0009b140: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0009b150: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0009b160: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0009b170: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0009b180: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0009b190: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0009b1a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0009b1b0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0009b1c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0009b1d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0009b1e0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0009b1f0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0009b200: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0009b210: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0009b220: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0009b230: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +0009b240: 6520 696e 7374 616c 6c5f 6170 7061 726d  e install_apparm
│ │ │ +0009b250: 6f72 0a0a 636c 6173 7320 696e 7374 616c  or..class instal
│ │ │ +0009b260: 6c5f 6170 7061 726d 6f72 207b 0a20 2070  l_apparmor {.  p
│ │ │ +0009b270: 6163 6b61 6765 207b 2027 6170 7061 726d  ackage { 'apparm
│ │ │ +0009b280: 6f72 273a 0a20 2020 2065 6e73 7572 6520  or':.    ensure 
│ │ │ +0009b290: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +0009b2a0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  0009b2b0: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  0009b2c0: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  0009b2d0: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  0009b2e0: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  0009b2f0: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  0009b300: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  0009b310: 6e74 5f72 756c 655f 7061 636b 6167 655f  nt_rule_package_
│ │ │ @@ -39891,178 +39891,178 @@
│ │ │  0009bd20: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  0009bd30: 2223 6964 6d37 3731 3722 2074 6162 696e  "#idm7717" tabin
│ │ │  0009bd40: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  0009bd50: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  0009bd60: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  0009bd70: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  0009bd80: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0009bd90: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -0009bda0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -0009bdb0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0009bdc0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0009bdd0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0009bde0: 6c61 7073 6522 2069 643d 2269 646d 3737  lapse" id="idm77
│ │ │ -0009bdf0: 3137 223e 3c70 7265 3e3c 636f 6465 3e0a  17"><pre><code>.
│ │ │ -0009be00: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ -0009be10: 6520 3d20 226c 6962 7061 6d2d 6170 7061  e = "libpam-appa
│ │ │ -0009be20: 726d 6f72 220a 7665 7273 696f 6e20 3d20  rmor".version = 
│ │ │ -0009be30: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ -0009be40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0009be50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0009be60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0009be70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0009be80: 7267 6574 3d22 2369 646d 3737 3138 2220  rget="#idm7718" 
│ │ │ -0009be90: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0009bea0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0009beb0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0009bec0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0009bed0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0009bee0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0009bef0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0009bf00: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0009bf10: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0009bf20: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0009bf30: 2069 643d 2269 646d 3737 3138 223e 3c74   id="idm7718"><t
│ │ │ -0009bf40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0009bf50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0009bf60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0009bf70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0009bf80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0009bf90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0009bfa0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0009bfb0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0009bfc0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0009bfd0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0009bfe0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0009bff0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0009c000: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0009c010: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0009c020: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0009c030: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ -0009c040: 7374 616c 6c5f 6c69 6270 616d 2d61 7070  stall_libpam-app
│ │ │ -0009c050: 6172 6d6f 720a 0a63 6c61 7373 2069 6e73  armor..class ins
│ │ │ -0009c060: 7461 6c6c 5f6c 6962 7061 6d2d 6170 7061  tall_libpam-appa
│ │ │ -0009c070: 726d 6f72 207b 0a20 2070 6163 6b61 6765  rmor {.  package
│ │ │ -0009c080: 207b 2027 6c69 6270 616d 2d61 7070 6172   { 'libpam-appar
│ │ │ -0009c090: 6d6f 7227 3a0a 2020 2020 656e 7375 7265  mor':.    ensure
│ │ │ -0009c0a0: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ -0009c0b0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -0009c0c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0009c0d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0009c0e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0009c0f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0009c100: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0009c110: 3737 3139 2220 7461 6269 6e64 6578 3d22  7719" tabindex="
│ │ │ -0009c120: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0009c130: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0009c140: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0009c150: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0009c160: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0009c170: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0009c180: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0009c190: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0009c1a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0009c1b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d37  llapse" id="idm7
│ │ │ -0009c1c0: 3731 3922 3e3c 7461 626c 6520 636c 6173  719"><table clas
│ │ │ -0009c1d0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0009c1e0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0009c1f0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0009c200: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0009c210: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0009c220: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0009c230: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0009c240: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0009c250: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0009c260: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0009c270: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0009c280: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0009c290: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -0009c2a0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0009c2b0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -0009c2c0: 616d 653a 2045 6e73 7572 6520 6c69 6270  ame: Ensure libp
│ │ │ -0009c2d0: 616d 2d61 7070 6172 6d6f 7220 6973 2069  am-apparmor is i
│ │ │ -0009c2e0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -0009c2f0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6c69  ge:.    name: li
│ │ │ -0009c300: 6270 616d 2d61 7070 6172 6d6f 720a 2020  bpam-apparmor.  
│ │ │ -0009c310: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -0009c320: 0a20 2077 6865 6e3a 2061 6e73 6962 6c65  .  when: ansible
│ │ │ -0009c330: 5f76 6972 7475 616c 697a 6174 696f 6e5f  _virtualization_
│ │ │ -0009c340: 7479 7065 206e 6f74 2069 6e20 5b22 646f  type not in ["do
│ │ │ -0009c350: 636b 6572 222c 2022 6c78 6322 2c20 226f  cker", "lxc", "o
│ │ │ -0009c360: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22  penvz", "podman"
│ │ │ -0009c370: 2c20 2263 6f6e 7461 696e 6572 225d 0a20  , "container"]. 
│ │ │ -0009c380: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0009c390: 3830 302d 3533 2d41 432d 3328 3429 0a20  800-53-AC-3(4). 
│ │ │ -0009c3a0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0009c3b0: 432d 3628 3130 290a 2020 2d20 4e49 5354  C-6(10).  - NIST
│ │ │ -0009c3c0: 2d38 3030 2d35 332d 4143 2d36 2838 290a  -800-53-AC-6(8).
│ │ │ -0009c3d0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0009c3e0: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ -0009c3f0: 2d38 3030 2d35 332d 434d 2d37 2832 290a  -800-53-CM-7(2).
│ │ │ -0009c400: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0009c410: 434d 2d37 2835 2928 6229 0a20 202d 204e  CM-7(5)(b).  - N
│ │ │ -0009c420: 4953 542d 3830 302d 3533 2d53 432d 3728  IST-800-53-SC-7(
│ │ │ -0009c430: 3231 290a 2020 2d20 656e 6162 6c65 5f73  21).  - enable_s
│ │ │ -0009c440: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0009c450: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0009c460: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0009c470: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0009c480: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -0009c490: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0009c4a0: 6765 5f70 616d 5f61 7070 6172 6d6f 725f  ge_pam_apparmor_
│ │ │ -0009c4b0: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ -0009c4c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0009c4d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0009c4e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0009c4f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0009c500: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0009c510: 3737 3230 2220 7461 6269 6e64 6578 3d22  7720" tabindex="
│ │ │ -0009c520: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0009c530: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0009c540: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0009c550: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0009c560: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0009c570: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -0009c580: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -0009c590: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0009c5a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0009c5b0: 7073 6522 2069 643d 2269 646d 3737 3230  pse" id="idm7720
│ │ │ -0009c5c0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0009c5d0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0009c5e0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0009c5f0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0009c600: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0009c610: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0009c620: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0009c630: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0009c640: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0009c650: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0009c660: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0009c670: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0009c680: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0009c690: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -0009c6a0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0009c6b0: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -0009c6c0: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -0009c6d0: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -0009c6e0: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -0009c6f0: 6966 205b 2021 202d 6620 2f2e 646f 636b  if [ ! -f /.dock
│ │ │ -0009c700: 6572 656e 7620 5d20 2661 6d70 3b26 616d  erenv ] &amp;&am
│ │ │ -0009c710: 703b 205b 2021 202d 6620 2f72 756e 2f2e  p; [ ! -f /run/.
│ │ │ -0009c720: 636f 6e74 6169 6e65 7265 6e76 205d 3b20  containerenv ]; 
│ │ │ -0009c730: 7468 656e 0a0a 4445 4249 414e 5f46 524f  then..DEBIAN_FRO
│ │ │ -0009c740: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -0009c750: 7469 7665 2061 7074 2d67 6574 2069 6e73  tive apt-get ins
│ │ │ -0009c760: 7461 6c6c 202d 7920 226c 6962 7061 6d2d  tall -y "libpam-
│ │ │ -0009c770: 6170 7061 726d 6f72 220a 0a65 6c73 650a  apparmor"..else.
│ │ │ -0009c780: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -0009c790: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -0009c7a0: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -0009c7b0: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -0009c7c0: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0009bd90: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +0009bda0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +0009bdb0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0009bdc0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0009bdd0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0009bde0: 2269 646d 3737 3137 223e 3c74 6162 6c65  "idm7717"><table
│ │ │ +0009bdf0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0009be00: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0009be10: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0009be20: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0009be30: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0009be40: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0009be50: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0009be60: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0009be70: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0009be80: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0009be90: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0009bea0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0009beb0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0009bec0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0009bed0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0009bee0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +0009bef0: 206c 6962 7061 6d2d 6170 7061 726d 6f72   libpam-apparmor
│ │ │ +0009bf00: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ +0009bf10: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +0009bf20: 653a 206c 6962 7061 6d2d 6170 7061 726d  e: libpam-apparm
│ │ │ +0009bf30: 6f72 0a20 2020 2073 7461 7465 3a20 7072  or.    state: pr
│ │ │ +0009bf40: 6573 656e 740a 2020 7768 656e 3a20 616e  esent.  when: an
│ │ │ +0009bf50: 7369 626c 655f 7669 7274 7561 6c69 7a61  sible_virtualiza
│ │ │ +0009bf60: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e  tion_type not in
│ │ │ +0009bf70: 205b 2264 6f63 6b65 7222 2c20 226c 7863   ["docker", "lxc
│ │ │ +0009bf80: 222c 2022 6f70 656e 767a 222c 2022 706f  ", "openvz", "po
│ │ │ +0009bf90: 646d 616e 222c 2022 636f 6e74 6169 6e65  dman", "containe
│ │ │ +0009bfa0: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20  r"].  tags:.  - 
│ │ │ +0009bfb0: 4e49 5354 2d38 3030 2d35 332d 4143 2d33  NIST-800-53-AC-3
│ │ │ +0009bfc0: 2834 290a 2020 2d20 4e49 5354 2d38 3030  (4).  - NIST-800
│ │ │ +0009bfd0: 2d35 332d 4143 2d36 2831 3029 0a20 202d  -53-AC-6(10).  -
│ │ │ +0009bfe0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +0009bff0: 3628 3829 0a20 202d 204e 4953 542d 3830  6(8).  - NIST-80
│ │ │ +0009c000: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0009c010: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0009c020: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ +0009c030: 302d 3533 2d43 4d2d 3728 3529 2862 290a  0-53-CM-7(5)(b).
│ │ │ +0009c040: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0009c050: 5343 2d37 2832 3129 0a20 202d 2065 6e61  SC-7(21).  - ena
│ │ │ +0009c060: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0009c070: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0009c080: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0009c090: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +0009c0a0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0009c0b0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0009c0c0: 7061 636b 6167 655f 7061 6d5f 6170 7061  package_pam_appa
│ │ │ +0009c0d0: 726d 6f72 5f69 6e73 7461 6c6c 6564 0a3c  rmor_installed.<
│ │ │ +0009c0e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0009c0f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0009c100: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0009c110: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0009c120: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0009c130: 2223 6964 6d37 3731 3822 2074 6162 696e  "#idm7718" tabin
│ │ │ +0009c140: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0009c150: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0009c160: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0009c170: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0009c180: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0009c190: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +0009c1a0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +0009c1b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0009c1c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0009c1d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0009c1e0: 6d37 3731 3822 3e3c 7461 626c 6520 636c  m7718"><table cl
│ │ │ +0009c1f0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0009c200: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0009c210: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0009c220: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0009c230: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0009c240: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0009c250: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0009c260: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0009c270: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0009c280: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0009c290: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0009c2a0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0009c2b0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0009c2c0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0009c2d0: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ +0009c2e0: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ +0009c2f0: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ +0009c300: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ +0009c310: 6f72 6d73 0a69 6620 5b20 2120 2d66 202f  orms.if [ ! -f /
│ │ │ +0009c320: 2e64 6f63 6b65 7265 6e76 205d 2026 616d  .dockerenv ] &am
│ │ │ +0009c330: 703b 2661 6d70 3b20 5b20 2120 2d66 202f  p;&amp; [ ! -f /
│ │ │ +0009c340: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e  run/.containeren
│ │ │ +0009c350: 7620 5d3b 2074 6865 6e0a 0a44 4542 4941  v ]; then..DEBIA
│ │ │ +0009c360: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +0009c370: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +0009c380: 7420 696e 7374 616c 6c20 2d79 2022 6c69  t install -y "li
│ │ │ +0009c390: 6270 616d 2d61 7070 6172 6d6f 7222 0a0a  bpam-apparmor"..
│ │ │ +0009c3a0: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ +0009c3b0: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ +0009c3c0: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ +0009c3d0: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ +0009c3e0: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +0009c3f0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0009c400: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0009c410: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0009c420: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0009c430: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0009c440: 2369 646d 3737 3139 2220 7461 6269 6e64  #idm7719" tabind
│ │ │ +0009c450: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +0009c460: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +0009c470: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +0009c480: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +0009c490: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +0009c4a0: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +0009c4b0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +0009c4c0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0009c4d0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0009c4e0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0009c4f0: 6170 7365 2220 6964 3d22 6964 6d37 3731  apse" id="idm771
│ │ │ +0009c500: 3922 3e3c 7072 653e 3c63 6f64 653e 0a5b  9"><pre><code>.[
│ │ │ +0009c510: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ +0009c520: 203d 2022 6c69 6270 616d 2d61 7070 6172   = "libpam-appar
│ │ │ +0009c530: 6d6f 7222 0a76 6572 7369 6f6e 203d 2022  mor".version = "
│ │ │ +0009c540: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ +0009c550: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0009c560: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0009c570: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0009c580: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0009c590: 6765 743d 2223 6964 6d37 3732 3022 2074  get="#idm7720" t
│ │ │ +0009c5a0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0009c5b0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0009c5c0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0009c5d0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0009c5e0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0009c5f0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0009c600: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +0009c610: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0009c620: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0009c630: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0009c640: 6964 3d22 6964 6d37 3732 3022 3e3c 7461  id="idm7720"><ta
│ │ │ +0009c650: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0009c660: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0009c670: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0009c680: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0009c690: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0009c6a0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0009c6b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0009c6c0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0009c6d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0009c6e0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0009c6f0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0009c700: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0009c710: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0009c720: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0009c730: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0009c740: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ +0009c750: 7461 6c6c 5f6c 6962 7061 6d2d 6170 7061  tall_libpam-appa
│ │ │ +0009c760: 726d 6f72 0a0a 636c 6173 7320 696e 7374  rmor..class inst
│ │ │ +0009c770: 616c 6c5f 6c69 6270 616d 2d61 7070 6172  all_libpam-appar
│ │ │ +0009c780: 6d6f 7220 7b0a 2020 7061 636b 6167 6520  mor {.  package 
│ │ │ +0009c790: 7b20 276c 6962 7061 6d2d 6170 7061 726d  { 'libpam-apparm
│ │ │ +0009c7a0: 6f72 273a 0a20 2020 2065 6e73 7572 6520  or':.    ensure 
│ │ │ +0009c7b0: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +0009c7c0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  0009c7d0: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  0009c7e0: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  0009c7f0: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  0009c800: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  0009c810: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  0009c820: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  0009c830: 6e74 5f72 756c 655f 616c 6c5f 6170 7061  nt_rule_all_appa
│ │ │ @@ -40756,109 +40756,109 @@
│ │ │  0009f330: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  0009f340: 2369 646d 3737 3734 2220 7461 6269 6e64  #idm7774" tabind
│ │ │  0009f350: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  0009f360: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  0009f370: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  0009f380: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  0009f390: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0009f3a0: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -0009f3b0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -0009f3c0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0009f3d0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0009f3e0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0009f3f0: 6170 7365 2220 6964 3d22 6964 6d37 3737  apse" id="idm777
│ │ │ -0009f400: 3422 3e3c 7072 653e 3c63 6f64 653e 0a5b  4"><pre><code>.[
│ │ │ -0009f410: 6375 7374 6f6d 697a 6174 696f 6e73 2e73  customizations.s
│ │ │ -0009f420: 6572 7669 6365 735d 0a65 6e61 626c 6564  ervices].enabled
│ │ │ -0009f430: 203d 205b 2261 7070 6172 6d6f 7222 5d0a   = ["apparmor"].
│ │ │ -0009f440: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0009f450: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0009f460: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0009f470: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0009f480: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0009f490: 3d22 2369 646d 3737 3735 2220 7461 6269  ="#idm7775" tabi
│ │ │ -0009f4a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0009f4b0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0009f4c0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0009f4d0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0009f4e0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0009f4f0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -0009f500: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -0009f510: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0009f520: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0009f530: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0009f540: 2269 646d 3737 3735 223e 3c74 6162 6c65  "idm7775"><table
│ │ │ -0009f550: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0009f560: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0009f570: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0009f580: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0009f590: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0009f5a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0009f5b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0009f5c0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0009f5d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0009f5e0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0009f5f0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0009f600: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0009f610: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0009f620: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0009f630: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0009f640: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ -0009f650: 5f61 7070 6172 6d6f 720a 0a63 6c61 7373  _apparmor..class
│ │ │ -0009f660: 2065 6e61 626c 655f 6170 7061 726d 6f72   enable_apparmor
│ │ │ -0009f670: 207b 0a20 2073 6572 7669 6365 207b 2761   {.  service {'a
│ │ │ -0009f680: 7070 6172 6d6f 7227 3a0a 2020 2020 656e  pparmor':.    en
│ │ │ -0009f690: 6162 6c65 203d 2667 743b 2074 7275 652c  able =&gt; true,
│ │ │ -0009f6a0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -0009f6b0: 3b20 2772 756e 6e69 6e67 272c 0a20 207d  ; 'running',.  }
│ │ │ -0009f6c0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0009f6d0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0009f6e0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0009f6f0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0009f700: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0009f710: 6765 743d 2223 6964 6d37 3737 3622 2074  get="#idm7776" t
│ │ │ -0009f720: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0009f730: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0009f740: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0009f750: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0009f760: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0009f770: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0009f780: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0009f790: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0009f7a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0009f7b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0009f7c0: 2069 643d 2269 646d 3737 3736 223e 3c70   id="idm7776"><p
│ │ │ -0009f7d0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0009f7e0: 2053 7461 7274 2061 7070 6172 6d6f 722e   Start apparmor.
│ │ │ -0009f7f0: 7365 7276 6963 650a 2020 7379 7374 656d  service.  system
│ │ │ -0009f800: 643a 0a20 2020 206e 616d 653a 2061 7070  d:.    name: app
│ │ │ -0009f810: 6172 6d6f 722e 7365 7276 6963 650a 2020  armor.service.  
│ │ │ -0009f820: 2020 7374 6174 653a 2073 7461 7274 6564    state: started
│ │ │ -0009f830: 0a20 2020 2065 6e61 626c 6564 3a20 7472  .    enabled: tr
│ │ │ -0009f840: 7565 0a20 2077 6865 6e3a 2061 6e73 6962  ue.  when: ansib
│ │ │ -0009f850: 6c65 5f76 6972 7475 616c 697a 6174 696f  le_virtualizatio
│ │ │ -0009f860: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22  n_type not in ["
│ │ │ -0009f870: 646f 636b 6572 222c 2022 6c78 6322 2c20  docker", "lxc", 
│ │ │ -0009f880: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61  "openvz", "podma
│ │ │ -0009f890: 6e22 2c20 2263 6f6e 7461 696e 6572 225d  n", "container"]
│ │ │ -0009f8a0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0009f8b0: 542d 3830 302d 3533 2d41 432d 3328 3429  T-800-53-AC-3(4)
│ │ │ -0009f8c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0009f8d0: 2d41 432d 3628 3130 290a 2020 2d20 4e49  -AC-6(10).  - NI
│ │ │ -0009f8e0: 5354 2d38 3030 2d35 332d 4143 2d36 2838  ST-800-53-AC-6(8
│ │ │ -0009f8f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0009f900: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0009f910: 5354 2d38 3030 2d35 332d 434d 2d37 2832  ST-800-53-CM-7(2
│ │ │ -0009f920: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0009f930: 332d 434d 2d37 2835 2928 6229 0a20 202d  3-CM-7(5)(b).  -
│ │ │ -0009f940: 204e 4953 542d 3830 302d 3533 2d53 432d   NIST-800-53-SC-
│ │ │ -0009f950: 3728 3231 290a 2020 2d20 6170 7061 726d  7(21).  - apparm
│ │ │ -0009f960: 6f72 5f63 6f6e 6669 6775 7265 640a 2020  or_configured.  
│ │ │ -0009f970: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0009f980: 790a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  y.</code></pre><
│ │ │ +0009f3a0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +0009f3b0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +0009f3c0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0009f3d0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0009f3e0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0009f3f0: 6964 6d37 3737 3422 3e3c 7072 653e 3c63  idm7774"><pre><c
│ │ │ +0009f400: 6f64 653e 2d20 6e61 6d65 3a20 5374 6172  ode>- name: Star
│ │ │ +0009f410: 7420 6170 7061 726d 6f72 2e73 6572 7669  t apparmor.servi
│ │ │ +0009f420: 6365 0a20 2073 7973 7465 6d64 3a0a 2020  ce.  systemd:.  
│ │ │ +0009f430: 2020 6e61 6d65 3a20 6170 7061 726d 6f72    name: apparmor
│ │ │ +0009f440: 2e73 6572 7669 6365 0a20 2020 2073 7461  .service.    sta
│ │ │ +0009f450: 7465 3a20 7374 6172 7465 640a 2020 2020  te: started.    
│ │ │ +0009f460: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ +0009f470: 7768 656e 3a20 616e 7369 626c 655f 7669  when: ansible_vi
│ │ │ +0009f480: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970  rtualization_typ
│ │ │ +0009f490: 6520 6e6f 7420 696e 205b 2264 6f63 6b65  e not in ["docke
│ │ │ +0009f4a0: 7222 2c20 226c 7863 222c 2022 6f70 656e  r", "lxc", "open
│ │ │ +0009f4b0: 767a 222c 2022 706f 646d 616e 222c 2022  vz", "podman", "
│ │ │ +0009f4c0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461  container"].  ta
│ │ │ +0009f4d0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +0009f4e0: 2d35 332d 4143 2d33 2834 290a 2020 2d20  -53-AC-3(4).  - 
│ │ │ +0009f4f0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +0009f500: 2831 3029 0a20 202d 204e 4953 542d 3830  (10).  - NIST-80
│ │ │ +0009f510: 302d 3533 2d41 432d 3628 3829 0a20 202d  0-53-AC-6(8).  -
│ │ │ +0009f520: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0009f530: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +0009f540: 302d 3533 2d43 4d2d 3728 3229 0a20 202d  0-53-CM-7(2).  -
│ │ │ +0009f550: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0009f560: 3728 3529 2862 290a 2020 2d20 4e49 5354  7(5)(b).  - NIST
│ │ │ +0009f570: 2d38 3030 2d35 332d 5343 2d37 2832 3129  -800-53-SC-7(21)
│ │ │ +0009f580: 0a20 202d 2061 7070 6172 6d6f 725f 636f  .  - apparmor_co
│ │ │ +0009f590: 6e66 6967 7572 6564 0a20 202d 206d 6564  nfigured.  - med
│ │ │ +0009f5a0: 6975 6d5f 7365 7665 7269 7479 0a3c 2f63  ium_severity.</c
│ │ │ +0009f5b0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +0009f5c0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +0009f5d0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +0009f5e0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +0009f5f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +0009f600: 6964 6d37 3737 3522 2074 6162 696e 6465  idm7775" tabinde
│ │ │ +0009f610: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0009f620: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0009f630: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0009f640: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0009f650: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0009f660: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +0009f670: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +0009f680: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0009f690: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0009f6a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0009f6b0: 7073 6522 2069 643d 2269 646d 3737 3735  pse" id="idm7775
│ │ │ +0009f6c0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +0009f6d0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +0009f6e0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +0009f6f0: 3d20 5b22 6170 7061 726d 6f72 225d 0a3c  = ["apparmor"].<
│ │ │ +0009f700: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0009f710: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0009f720: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0009f730: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0009f740: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0009f750: 2223 6964 6d37 3737 3622 2074 6162 696e  "#idm7776" tabin
│ │ │ +0009f760: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0009f770: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0009f780: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0009f790: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0009f7a0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0009f7b0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0009f7c0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0009f7d0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0009f7e0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0009f7f0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0009f800: 6964 6d37 3737 3622 3e3c 7461 626c 6520  idm7776"><table 
│ │ │ +0009f810: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0009f820: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0009f830: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0009f840: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0009f850: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0009f860: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0009f870: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0009f880: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0009f890: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0009f8a0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0009f8b0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0009f8c0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0009f8d0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +0009f8e0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0009f8f0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0009f900: 3e69 6e63 6c75 6465 2065 6e61 626c 655f  >include enable_
│ │ │ +0009f910: 6170 7061 726d 6f72 0a0a 636c 6173 7320  apparmor..class 
│ │ │ +0009f920: 656e 6162 6c65 5f61 7070 6172 6d6f 7220  enable_apparmor 
│ │ │ +0009f930: 7b0a 2020 7365 7276 6963 6520 7b27 6170  {.  service {'ap
│ │ │ +0009f940: 7061 726d 6f72 273a 0a20 2020 2065 6e61  parmor':.    ena
│ │ │ +0009f950: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ +0009f960: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +0009f970: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ +0009f980: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  0009f990: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  0009f9a0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  0009f9b0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  0009f9c0: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  0009f9d0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  0009f9e0: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  0009f9f0: 5f67 7275 6232 5f65 6e61 626c 655f 6170  _grub2_enable_ap
│ │ │ @@ -67735,187 +67735,187 @@
│ │ │  00108960: 743d 2223 6964 6d31 3035 3532 2220 7461  t="#idm10552" ta
│ │ │  00108970: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00108980: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00108990: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  001089a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  001089b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  001089c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -001089d0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -001089e0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -001089f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00108a00: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00108a10: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00108a20: 6d31 3035 3532 223e 3c70 7265 3e3c 636f  m10552"><pre><co
│ │ │ -00108a30: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ -00108a40: 0a6e 616d 6520 3d20 226c 6f67 726f 7461  .name = "logrota
│ │ │ -00108a50: 7465 220a 7665 7273 696f 6e20 3d20 222a  te".version = "*
│ │ │ -00108a60: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00108a70: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00108a80: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00108a90: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00108aa0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00108ab0: 6574 3d22 2369 646d 3130 3535 3322 2074  et="#idm10553" t
│ │ │ -00108ac0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00108ad0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00108ae0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00108af0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00108b00: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00108b10: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00108b20: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00108b30: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00108b40: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00108b50: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00108b60: 6964 3d22 6964 6d31 3035 3533 223e 3c74  id="idm10553"><t
│ │ │ -00108b70: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00108b80: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00108b90: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00108ba0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00108bb0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00108bc0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00108bd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00108be0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00108bf0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00108c00: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00108c10: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00108c20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00108c30: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00108c40: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00108c50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00108c60: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ -00108c70: 7374 616c 6c5f 6c6f 6772 6f74 6174 650a  stall_logrotate.
│ │ │ -00108c80: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f6c  .class install_l
│ │ │ -00108c90: 6f67 726f 7461 7465 207b 0a20 2070 6163  ogrotate {.  pac
│ │ │ -00108ca0: 6b61 6765 207b 2027 6c6f 6772 6f74 6174  kage { 'logrotat
│ │ │ -00108cb0: 6527 3a0a 2020 2020 656e 7375 7265 203d  e':.    ensure =
│ │ │ -00108cc0: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ -00108cd0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00108ce0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00108cf0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00108d00: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00108d10: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00108d20: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00108d30: 3535 3422 2074 6162 696e 6465 783d 2230  554" tabindex="0
│ │ │ -00108d40: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00108d50: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00108d60: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00108d70: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00108d80: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00108d90: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00108da0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00108db0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00108dc0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00108dd0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00108de0: 3535 3422 3e3c 7461 626c 6520 636c 6173  554"><table clas
│ │ │ -00108df0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00108e00: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00108e10: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00108e20: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00108e30: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00108e40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00108e50: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00108e60: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00108e70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00108e80: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00108e90: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00108ea0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00108eb0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00108ec0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00108ed0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00108ee0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -00108ef0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -00108f00: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -00108f10: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00108f20: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00108f30: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00108f40: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -00108f50: 2d31 302e 370a 2020 2d20 5043 492d 4453  -10.7.  - PCI-DS
│ │ │ -00108f60: 5376 342d 3130 2e35 0a20 202d 2050 4349  Sv4-10.5.  - PCI
│ │ │ -00108f70: 2d44 5353 7634 2d31 302e 352e 310a 2020  -DSSv4-10.5.1.  
│ │ │ -00108f80: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00108f90: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00108fa0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00108fb0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00108fc0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00108fd0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00108fe0: 0a20 202d 2070 6163 6b61 6765 5f6c 6f67  .  - package_log
│ │ │ -00108ff0: 726f 7461 7465 5f69 6e73 7461 6c6c 6564  rotate_installed
│ │ │ -00109000: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -00109010: 206c 6f67 726f 7461 7465 2069 7320 696e   logrotate is in
│ │ │ -00109020: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -00109030: 653a 0a20 2020 206e 616d 653a 206c 6f67  e:.    name: log
│ │ │ -00109040: 726f 7461 7465 0a20 2020 2073 7461 7465  rotate.    state
│ │ │ -00109050: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -00109060: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00109070: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00109080: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00109090: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -001090a0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -001090b0: 4349 2d44 5353 2d52 6571 2d31 302e 370a  CI-DSS-Req-10.7.
│ │ │ -001090c0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -001090d0: 2e35 0a20 202d 2050 4349 2d44 5353 7634  .5.  - PCI-DSSv4
│ │ │ -001090e0: 2d31 302e 352e 310a 2020 2d20 656e 6162  -10.5.1.  - enab
│ │ │ -001090f0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00109100: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00109110: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00109120: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00109130: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00109140: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00109150: 6163 6b61 6765 5f6c 6f67 726f 7461 7465  ackage_logrotate
│ │ │ -00109160: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ -00109170: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00109180: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00109190: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -001091a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -001091b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -001091c0: 6d31 3035 3535 2220 7461 6269 6e64 6578  m10555" tabindex
│ │ │ -001091d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -001091e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -001091f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00109200: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00109210: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00109220: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ -00109230: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ -00109240: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00109250: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00109260: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00109270: 3535 3522 3e3c 7461 626c 6520 636c 6173  555"><table clas
│ │ │ -00109280: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00109290: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -001092a0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -001092b0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -001092c0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -001092d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001092e0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -001092f0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00109300: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00109310: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00109320: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00109330: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00109340: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00109350: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00109360: 653e 3c70 7265 3e3c 636f 6465 3e23 2052  e><pre><code># R
│ │ │ -00109370: 656d 6564 6961 7469 6f6e 2069 7320 6170  emediation is ap
│ │ │ -00109380: 706c 6963 6162 6c65 206f 6e6c 7920 696e  plicable only in
│ │ │ -00109390: 2063 6572 7461 696e 2070 6c61 7466 6f72   certain platfor
│ │ │ -001093a0: 6d73 0a69 6620 6470 6b67 2d71 7565 7279  ms.if dpkg-query
│ │ │ -001093b0: 202d 2d73 686f 7720 2d2d 7368 6f77 666f   --show --showfo
│ │ │ -001093c0: 726d 6174 3d27 247b 6462 3a53 7461 7475  rmat='${db:Statu
│ │ │ -001093d0: 732d 5374 6174 7573 7d0a 2720 276c 696e  s-Status}.' 'lin
│ │ │ -001093e0: 7578 2d62 6173 6527 2032 2667 743b 2f64  ux-base' 2&gt;/d
│ │ │ -001093f0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d  ev/null | grep -
│ │ │ -00109400: 7120 5e69 6e73 7461 6c6c 6564 3b20 7468  q ^installed; th
│ │ │ -00109410: 656e 0a0a 4445 4249 414e 5f46 524f 4e54  en..DEBIAN_FRONT
│ │ │ -00109420: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -00109430: 7665 2061 7074 2d67 6574 2069 6e73 7461  ve apt-get insta
│ │ │ -00109440: 6c6c 202d 7920 226c 6f67 726f 7461 7465  ll -y "logrotate
│ │ │ -00109450: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ -00109460: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ -00109470: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ -00109480: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ -00109490: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +001089d0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +001089e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +001089f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00108a00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00108a10: 6964 3d22 6964 6d31 3035 3532 223e 3c74  id="idm10552"><t
│ │ │ +00108a20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00108a30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00108a40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00108a50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00108a60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00108a70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00108a80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00108a90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00108aa0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00108ab0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00108ac0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00108ad0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00108ae0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00108af0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00108b00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00108b10: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +00108b20: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +00108b30: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +00108b40: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +00108b50: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +00108b60: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00108b70: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +00108b80: 492d 4453 532d 5265 712d 3130 2e37 0a20  I-DSS-Req-10.7. 
│ │ │ +00108b90: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +00108ba0: 350a 2020 2d20 5043 492d 4453 5376 342d  5.  - PCI-DSSv4-
│ │ │ +00108bb0: 3130 2e35 2e31 0a20 202d 2065 6e61 626c  10.5.1.  - enabl
│ │ │ +00108bc0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00108bd0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00108be0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00108bf0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00108c00: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00108c10: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00108c20: 636b 6167 655f 6c6f 6772 6f74 6174 655f  ckage_logrotate_
│ │ │ +00108c30: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ +00108c40: 653a 2045 6e73 7572 6520 6c6f 6772 6f74  e: Ensure logrot
│ │ │ +00108c50: 6174 6520 6973 2069 6e73 7461 6c6c 6564  ate is installed
│ │ │ +00108c60: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00108c70: 6e61 6d65 3a20 6c6f 6772 6f74 6174 650a  name: logrotate.
│ │ │ +00108c80: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ +00108c90: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ +00108ca0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00108cb0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00108cc0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +00108cd0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +00108ce0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ +00108cf0: 5265 712d 3130 2e37 0a20 202d 2050 4349  Req-10.7.  - PCI
│ │ │ +00108d00: 2d44 5353 7634 2d31 302e 350a 2020 2d20  -DSSv4-10.5.  - 
│ │ │ +00108d10: 5043 492d 4453 5376 342d 3130 2e35 2e31  PCI-DSSv4-10.5.1
│ │ │ +00108d20: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00108d30: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00108d40: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00108d50: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00108d60: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00108d70: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00108d80: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00108d90: 6c6f 6772 6f74 6174 655f 696e 7374 616c  logrotate_instal
│ │ │ +00108da0: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00108db0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00108dc0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00108dd0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00108de0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00108df0: 7267 6574 3d22 2369 646d 3130 3535 3322  rget="#idm10553"
│ │ │ +00108e00: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00108e10: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00108e20: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00108e30: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00108e40: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00108e50: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00108e60: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +00108e70: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00108e80: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00108e90: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00108ea0: 6964 3d22 6964 6d31 3035 3533 223e 3c74  id="idm10553"><t
│ │ │ +00108eb0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00108ec0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00108ed0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00108ee0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00108ef0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00108f00: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00108f10: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00108f20: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00108f30: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00108f40: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00108f50: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00108f60: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00108f70: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00108f80: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00108f90: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00108fa0: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ +00108fb0: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ +00108fc0: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ +00108fd0: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ +00108fe0: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ +00108ff0: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ +00109000: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ +00109010: 737d 0a27 2027 6c69 6e75 782d 6261 7365  s}.' 'linux-base
│ │ │ +00109020: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c  ' 2&gt;/dev/null
│ │ │ +00109030: 207c 2067 7265 7020 2d71 205e 696e 7374   | grep -q ^inst
│ │ │ +00109040: 616c 6c65 643b 2074 6865 6e0a 0a44 4542  alled; then..DEB
│ │ │ +00109050: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +00109060: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +00109070: 6765 7420 696e 7374 616c 6c20 2d79 2022  get install -y "
│ │ │ +00109080: 6c6f 6772 6f74 6174 6522 0a0a 656c 7365  logrotate"..else
│ │ │ +00109090: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +001090a0: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +001090b0: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +001090c0: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +001090d0: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +001090e0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +001090f0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00109100: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00109110: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00109120: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00109130: 3130 3535 3422 2074 6162 696e 6465 783d  10554" tabindex=
│ │ │ +00109140: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00109150: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00109160: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00109170: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00109180: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00109190: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +001091a0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +001091b0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001091c0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001091d0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001091e0: 6522 2069 643d 2269 646d 3130 3535 3422  e" id="idm10554"
│ │ │ +001091f0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +00109200: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +00109210: 2022 6c6f 6772 6f74 6174 6522 0a76 6572   "logrotate".ver
│ │ │ +00109220: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ +00109230: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00109240: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00109250: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00109260: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00109270: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00109280: 6d31 3035 3535 2220 7461 6269 6e64 6578  m10555" tabindex
│ │ │ +00109290: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +001092a0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +001092b0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +001092c0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +001092d0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +001092e0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +001092f0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00109300: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00109310: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00109320: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00109330: 3130 3535 3522 3e3c 7461 626c 6520 636c  10555"><table cl
│ │ │ +00109340: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00109350: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00109360: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00109370: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00109380: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00109390: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001093a0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001093b0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001093c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001093d0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001093e0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001093f0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00109400: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00109410: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00109420: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00109430: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f6c  nclude install_l
│ │ │ +00109440: 6f67 726f 7461 7465 0a0a 636c 6173 7320  ogrotate..class 
│ │ │ +00109450: 696e 7374 616c 6c5f 6c6f 6772 6f74 6174  install_logrotat
│ │ │ +00109460: 6520 7b0a 2020 7061 636b 6167 6520 7b20  e {.  package { 
│ │ │ +00109470: 276c 6f67 726f 7461 7465 273a 0a20 2020  'logrotate':.   
│ │ │ +00109480: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +00109490: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │  001094a0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  001094b0: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  001094c0: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  001094d0: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c74  ble></td></tr><t
│ │ │  001094e0: 7220 6461 7461 2d74 742d 6964 3d22 7863  r data-tt-id="xc
│ │ │  001094f0: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00109500: 6374 2e63 6f6e 7465 6e74 5f72 756c 655f  ct.content_rule_
│ │ │ @@ -69755,180 +69755,180 @@
│ │ │  001107a0: 7461 7267 6574 3d22 2369 646d 3130 3036  target="#idm1006
│ │ │  001107b0: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │  001107c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  001107d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  001107e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  001107f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00110800: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00110810: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ -00110820: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ -00110830: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00110840: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00110850: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00110860: 643d 2269 646d 3130 3036 3322 3e3c 7072  d="idm10063"><pr
│ │ │ -00110870: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ -00110880: 6765 735d 5d0a 6e61 6d65 203d 2022 7273  ges]].name = "rs
│ │ │ -00110890: 7973 6c6f 672d 676e 7574 6c73 220a 7665  yslog-gnutls".ve
│ │ │ -001108a0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -001108b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -001108c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -001108d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -001108e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -001108f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00110900: 646d 3130 3036 3422 2074 6162 696e 6465  dm10064" tabinde
│ │ │ -00110910: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00110920: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00110930: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00110940: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00110950: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00110960: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00110970: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00110980: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00110990: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001109a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001109b0: 6d31 3030 3634 223e 3c74 6162 6c65 2063  m10064"><table c
│ │ │ -001109c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001109d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001109e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001109f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00110a00: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00110a10: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00110a20: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00110a30: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00110a40: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00110a50: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00110a60: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00110a70: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00110a80: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00110a90: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00110aa0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00110ab0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ -00110ac0: 7273 7973 6c6f 672d 676e 7574 6c73 0a0a  rsyslog-gnutls..
│ │ │ -00110ad0: 636c 6173 7320 696e 7374 616c 6c5f 7273  class install_rs
│ │ │ -00110ae0: 7973 6c6f 672d 676e 7574 6c73 207b 0a20  yslog-gnutls {. 
│ │ │ -00110af0: 2070 6163 6b61 6765 207b 2027 7273 7973   package { 'rsys
│ │ │ -00110b00: 6c6f 672d 676e 7574 6c73 273a 0a20 2020  log-gnutls':.   
│ │ │ -00110b10: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -00110b20: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -00110b30: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00110b40: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00110b50: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00110b60: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00110b70: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00110b80: 743d 2223 6964 6d31 3030 3635 2220 7461  t="#idm10065" ta
│ │ │ -00110b90: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00110ba0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00110bb0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00110bc0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00110bd0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00110be0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00110bf0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00110c00: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00110c10: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00110c20: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00110c30: 6964 3d22 6964 6d31 3030 3635 223e 3c74  id="idm10065"><t
│ │ │ -00110c40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00110c50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00110c60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00110c70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00110c80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00110c90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00110ca0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00110cb0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00110cc0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00110cd0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00110ce0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00110cf0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00110d00: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00110d10: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00110d20: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00110d30: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -00110d40: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00110d50: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -00110d60: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -00110d70: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -00110d80: 3a0a 2020 2d20 656e 6162 6c65 5f73 7472  :.  - enable_str
│ │ │ -00110d90: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00110da0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00110db0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00110dc0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00110dd0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00110de0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00110df0: 5f72 7379 736c 6f67 2d67 6e75 746c 735f  _rsyslog-gnutls_
│ │ │ -00110e00: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -00110e10: 653a 2045 6e73 7572 6520 7273 7973 6c6f  e: Ensure rsyslo
│ │ │ -00110e20: 672d 676e 7574 6c73 2069 7320 696e 7374  g-gnutls is inst
│ │ │ -00110e30: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ -00110e40: 0a20 2020 206e 616d 653a 2072 7379 736c  .    name: rsysl
│ │ │ -00110e50: 6f67 2d67 6e75 746c 730a 2020 2020 7374  og-gnutls.    st
│ │ │ -00110e60: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -00110e70: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00110e80: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00110e90: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00110ea0: 7461 6773 3a0a 2020 2d20 656e 6162 6c65  tags:.  - enable
│ │ │ -00110eb0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00110ec0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00110ed0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00110ee0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00110ef0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00110f00: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00110f10: 6b61 6765 5f72 7379 736c 6f67 2d67 6e75  kage_rsyslog-gnu
│ │ │ -00110f20: 746c 735f 696e 7374 616c 6c65 640a 3c2f  tls_installed.</
│ │ │ -00110f30: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00110f40: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00110f50: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00110f60: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00110f70: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00110f80: 2369 646d 3130 3036 3622 2074 6162 696e  #idm10066" tabin
│ │ │ -00110f90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00110fa0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00110fb0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00110fc0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00110fd0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00110fe0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -00110ff0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -00111000: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00111010: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00111020: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00111030: 6d31 3030 3636 223e 3c74 6162 6c65 2063  m10066"><table c
│ │ │ -00111040: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00111050: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00111060: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00111070: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00111080: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00111090: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001110a0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001110b0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001110c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001110d0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001110e0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001110f0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00111100: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00111110: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00111120: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00111130: 2320 5265 6d65 6469 6174 696f 6e20 6973  # Remediation is
│ │ │ -00111140: 2061 7070 6c69 6361 626c 6520 6f6e 6c79   applicable only
│ │ │ -00111150: 2069 6e20 6365 7274 6169 6e20 706c 6174   in certain plat
│ │ │ -00111160: 666f 726d 730a 6966 2064 706b 672d 7175  forms.if dpkg-qu
│ │ │ -00111170: 6572 7920 2d2d 7368 6f77 202d 2d73 686f  ery --show --sho
│ │ │ -00111180: 7766 6f72 6d61 743d 2724 7b64 623a 5374  wformat='${db:St
│ │ │ -00111190: 6174 7573 2d53 7461 7475 737d 0a27 2027  atus-Status}.' '
│ │ │ -001111a0: 6c69 6e75 782d 6261 7365 2720 3226 6774  linux-base' 2&gt
│ │ │ -001111b0: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265  ;/dev/null | gre
│ │ │ -001111c0: 7020 2d71 205e 696e 7374 616c 6c65 643b  p -q ^installed;
│ │ │ -001111d0: 2074 6865 6e0a 0a44 4542 4941 4e5f 4652   then..DEBIAN_FR
│ │ │ -001111e0: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -001111f0: 6374 6976 6520 6170 742d 6765 7420 696e  ctive apt-get in
│ │ │ -00111200: 7374 616c 6c20 2d79 2022 7273 7973 6c6f  stall -y "rsyslo
│ │ │ -00111210: 672d 676e 7574 6c73 220a 0a65 6c73 650a  g-gnutls"..else.
│ │ │ -00111220: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -00111230: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -00111240: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -00111250: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -00111260: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +00110810: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00110820: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00110830: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00110840: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00110850: 7073 6522 2069 643d 2269 646d 3130 3036  pse" id="idm1006
│ │ │ +00110860: 3322 3e3c 7461 626c 6520 636c 6173 733d  3"><table class=
│ │ │ +00110870: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00110880: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00110890: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001108a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001108b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001108c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001108d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001108e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001108f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00110900: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00110910: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00110920: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00110930: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00110940: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00110950: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +00110960: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +00110970: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +00110980: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +00110990: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +001109a0: 2074 6167 733a 0a20 202d 2065 6e61 626c   tags:.  - enabl
│ │ │ +001109b0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +001109c0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +001109d0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +001109e0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +001109f0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00110a00: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00110a10: 636b 6167 655f 7273 7973 6c6f 672d 676e  ckage_rsyslog-gn
│ │ │ +00110a20: 7574 6c73 5f69 6e73 7461 6c6c 6564 0a0a  utls_installed..
│ │ │ +00110a30: 2d20 6e61 6d65 3a20 456e 7375 7265 2072  - name: Ensure r
│ │ │ +00110a40: 7379 736c 6f67 2d67 6e75 746c 7320 6973  syslog-gnutls is
│ │ │ +00110a50: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ +00110a60: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +00110a70: 7273 7973 6c6f 672d 676e 7574 6c73 0a20  rsyslog-gnutls. 
│ │ │ +00110a80: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00110a90: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00110aa0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00110ab0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00110ac0: 7327 0a20 2074 6167 733a 0a20 202d 2065  s'.  tags:.  - e
│ │ │ +00110ad0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +00110ae0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00110af0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00110b00: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +00110b10: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +00110b20: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00110b30: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ +00110b40: 672d 676e 7574 6c73 5f69 6e73 7461 6c6c  g-gnutls_install
│ │ │ +00110b50: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00110b60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00110b70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00110b80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00110b90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00110ba0: 6765 743d 2223 6964 6d31 3030 3634 2220  get="#idm10064" 
│ │ │ +00110bb0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00110bc0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00110bd0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00110be0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00110bf0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00110c00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00110c10: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +00110c20: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00110c30: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00110c40: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00110c50: 643d 2269 646d 3130 3036 3422 3e3c 7461  d="idm10064"><ta
│ │ │ +00110c60: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00110c70: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00110c80: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00110c90: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00110ca0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00110cb0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00110cc0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00110cd0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00110ce0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00110cf0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00110d00: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00110d10: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00110d20: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00110d30: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00110d40: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00110d50: 636f 6465 3e23 2052 656d 6564 6961 7469  code># Remediati
│ │ │ +00110d60: 6f6e 2069 7320 6170 706c 6963 6162 6c65  on is applicable
│ │ │ +00110d70: 206f 6e6c 7920 696e 2063 6572 7461 696e   only in certain
│ │ │ +00110d80: 2070 6c61 7466 6f72 6d73 0a69 6620 6470   platforms.if dp
│ │ │ +00110d90: 6b67 2d71 7565 7279 202d 2d73 686f 7720  kg-query --show 
│ │ │ +00110da0: 2d2d 7368 6f77 666f 726d 6174 3d27 247b  --showformat='${
│ │ │ +00110db0: 6462 3a53 7461 7475 732d 5374 6174 7573  db:Status-Status
│ │ │ +00110dc0: 7d0a 2720 276c 696e 7578 2d62 6173 6527  }.' 'linux-base'
│ │ │ +00110dd0: 2032 2667 743b 2f64 6576 2f6e 756c 6c20   2&gt;/dev/null 
│ │ │ +00110de0: 7c20 6772 6570 202d 7120 5e69 6e73 7461  | grep -q ^insta
│ │ │ +00110df0: 6c6c 6564 3b20 7468 656e 0a0a 4445 4249  lled; then..DEBI
│ │ │ +00110e00: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +00110e10: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +00110e20: 6574 2069 6e73 7461 6c6c 202d 7920 2272  et install -y "r
│ │ │ +00110e30: 7379 736c 6f67 2d67 6e75 746c 7322 0a0a  syslog-gnutls"..
│ │ │ +00110e40: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ +00110e50: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ +00110e60: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ +00110e70: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ +00110e80: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +00110e90: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00110ea0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00110eb0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00110ec0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00110ed0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00110ee0: 2369 646d 3130 3036 3522 2074 6162 696e  #idm10065" tabin
│ │ │ +00110ef0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00110f00: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00110f10: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00110f20: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00110f30: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00110f40: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00110f50: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00110f60: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00110f70: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00110f80: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00110f90: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00110fa0: 3036 3522 3e3c 7072 653e 3c63 6f64 653e  065"><pre><code>
│ │ │ +00110fb0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +00110fc0: 6d65 203d 2022 7273 7973 6c6f 672d 676e  me = "rsyslog-gn
│ │ │ +00110fd0: 7574 6c73 220a 7665 7273 696f 6e20 3d20  utls".version = 
│ │ │ +00110fe0: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ +00110ff0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00111000: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00111010: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00111020: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00111030: 7267 6574 3d22 2369 646d 3130 3036 3622  rget="#idm10066"
│ │ │ +00111040: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00111050: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00111060: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00111070: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00111080: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00111090: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +001110a0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +001110b0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001110c0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001110d0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001110e0: 2220 6964 3d22 6964 6d31 3030 3636 223e  " id="idm10066">
│ │ │ +001110f0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00111100: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00111110: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00111120: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00111130: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00111140: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00111150: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00111160: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00111170: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00111180: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00111190: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001111a0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001111b0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001111c0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +001111d0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001111e0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +001111f0: 696e 7374 616c 6c5f 7273 7973 6c6f 672d  install_rsyslog-
│ │ │ +00111200: 676e 7574 6c73 0a0a 636c 6173 7320 696e  gnutls..class in
│ │ │ +00111210: 7374 616c 6c5f 7273 7973 6c6f 672d 676e  stall_rsyslog-gn
│ │ │ +00111220: 7574 6c73 207b 0a20 2070 6163 6b61 6765  utls {.  package
│ │ │ +00111230: 207b 2027 7273 7973 6c6f 672d 676e 7574   { 'rsyslog-gnut
│ │ │ +00111240: 6c73 273a 0a20 2020 2065 6e73 7572 6520  ls':.    ensure 
│ │ │ +00111250: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +00111260: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00111270: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00111280: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00111290: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  001112a0: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  001112b0: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  001112c0: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  001112d0: 6e74 5f72 756c 655f 7061 636b 6167 655f  nt_rule_package_
│ │ │ @@ -70136,179 +70136,179 @@
│ │ │  00111f70: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │  00111f80: 3131 3422 2074 6162 696e 6465 783d 2230  114" tabindex="0
│ │ │  00111f90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00111fa0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00111fb0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00111fc0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00111fd0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00111fe0: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00111ff0: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00112000: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00112010: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00112020: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00112030: 2069 643d 2269 646d 3130 3131 3422 3e3c   id="idm10114"><
│ │ │ -00112040: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00112050: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -00112060: 7273 7973 6c6f 6722 0a76 6572 7369 6f6e  rsyslog".version
│ │ │ -00112070: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -00112080: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00112090: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -001120a0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -001120b0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -001120c0: 2d74 6172 6765 743d 2223 6964 6d31 3031  -target="#idm101
│ │ │ -001120d0: 3135 2220 7461 6269 6e64 6578 3d22 3022  15" tabindex="0"
│ │ │ -001120e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -001120f0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00112100: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00112110: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00112120: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00112130: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00112140: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00112150: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00112160: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00112170: 7073 6522 2069 643d 2269 646d 3130 3131  pse" id="idm1011
│ │ │ -00112180: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ -00112190: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001121a0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001121b0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001121c0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001121d0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001121e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001121f0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00112200: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00112210: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00112220: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00112230: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00112240: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00112250: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00112260: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00112270: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -00112280: 6465 2069 6e73 7461 6c6c 5f72 7379 736c  de install_rsysl
│ │ │ -00112290: 6f67 0a0a 636c 6173 7320 696e 7374 616c  og..class instal
│ │ │ -001122a0: 6c5f 7273 7973 6c6f 6720 7b0a 2020 7061  l_rsyslog {.  pa
│ │ │ -001122b0: 636b 6167 6520 7b20 2772 7379 736c 6f67  ckage { 'rsyslog
│ │ │ -001122c0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -001122d0: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -001122e0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -001122f0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00112300: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00112310: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00112320: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00112330: 2d74 6172 6765 743d 2223 6964 6d31 3031  -target="#idm101
│ │ │ -00112340: 3136 2220 7461 6269 6e64 6578 3d22 3022  16" tabindex="0"
│ │ │ -00112350: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00112360: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00112370: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00112380: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00112390: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -001123a0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -001123b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001123c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001123d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001123e0: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ -001123f0: 3136 223e 3c74 6162 6c65 2063 6c61 7373  16"><table class
│ │ │ -00112400: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00112410: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00112420: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00112430: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00112440: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00112450: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00112460: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00112470: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00112480: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00112490: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001124a0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001124b0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001124c0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -001124d0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001124e0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001124f0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -00112500: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -00112510: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -00112520: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -00112530: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -00112540: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00112550: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -00112560: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00112570: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00112580: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -00112590: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001125a0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001125b0: 6564 0a20 202d 2070 6163 6b61 6765 5f72  ed.  - package_r
│ │ │ -001125c0: 7379 736c 6f67 5f69 6e73 7461 6c6c 6564  syslog_installed
│ │ │ -001125d0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -001125e0: 2072 7379 736c 6f67 2069 7320 696e 7374   rsyslog is inst
│ │ │ -001125f0: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ -00112600: 0a20 2020 206e 616d 653a 2072 7379 736c  .    name: rsysl
│ │ │ -00112610: 6f67 0a20 2020 2073 7461 7465 3a20 7072  og.    state: pr
│ │ │ -00112620: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ -00112630: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -00112640: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -00112650: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -00112660: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00112670: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -00112680: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00112690: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -001126a0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -001126b0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -001126c0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -001126d0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -001126e0: 636b 6167 655f 7273 7973 6c6f 675f 696e  ckage_rsyslog_in
│ │ │ -001126f0: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ -00112700: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00112710: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00112720: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00112730: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00112740: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00112750: 3131 3722 2074 6162 696e 6465 783d 2230  117" tabindex="0
│ │ │ -00112760: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00112770: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00112780: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00112790: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -001127a0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001127b0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -001127c0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -001127d0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001127e0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001127f0: 7365 2220 6964 3d22 6964 6d31 3031 3137  se" id="idm10117
│ │ │ -00112800: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00112810: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00112820: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00112830: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00112840: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00112850: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00112860: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00112870: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00112880: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00112890: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001128a0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001128b0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001128c0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001128d0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -001128e0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -001128f0: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -00112900: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -00112910: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -00112920: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -00112930: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ -00112940: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ -00112950: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ -00112960: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ -00112970: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ -00112980: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ -00112990: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ -001129a0: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -001129b0: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -001129c0: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ -001129d0: 2d79 2022 7273 7973 6c6f 6722 0a0a 656c  -y "rsyslog"..el
│ │ │ -001129e0: 7365 0a20 2020 2026 6774 3b26 616d 703b  se.    &gt;&amp;
│ │ │ -001129f0: 3220 6563 686f 2027 5265 6d65 6469 6174  2 echo 'Remediat
│ │ │ -00112a00: 696f 6e20 6973 206e 6f74 2061 7070 6c69  ion is not appli
│ │ │ -00112a10: 6361 626c 652c 206e 6f74 6869 6e67 2077  cable, nothing w
│ │ │ -00112a20: 6173 2064 6f6e 6527 0a66 690a 3c2f 636f  as done'.fi.</co
│ │ │ +00111fe0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00111ff0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00112000: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00112010: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00112020: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00112030: 3131 3422 3e3c 7461 626c 6520 636c 6173  114"><table clas
│ │ │ +00112040: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00112050: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00112060: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00112070: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00112080: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00112090: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001120a0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001120b0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001120c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001120d0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001120e0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001120f0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00112100: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00112110: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00112120: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00112130: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00112140: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00112150: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00112160: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +00112170: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00112180: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00112190: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +001121a0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +001121b0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +001121c0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +001121d0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +001121e0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +001121f0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00112200: 7273 7973 6c6f 675f 696e 7374 616c 6c65  rsyslog_installe
│ │ │ +00112210: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +00112220: 6520 7273 7973 6c6f 6720 6973 2069 6e73  e rsyslog is ins
│ │ │ +00112230: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ +00112240: 3a0a 2020 2020 6e61 6d65 3a20 7273 7973  :.    name: rsys
│ │ │ +00112250: 6c6f 670a 2020 2020 7374 6174 653a 2070  log.    state: p
│ │ │ +00112260: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ +00112270: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +00112280: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00112290: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +001122a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001122b0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +001122c0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +001122d0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +001122e0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +001122f0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00112300: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00112310: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00112320: 6163 6b61 6765 5f72 7379 736c 6f67 5f69  ackage_rsyslog_i
│ │ │ +00112330: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +00112340: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00112350: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00112360: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00112370: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00112380: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00112390: 3031 3135 2220 7461 6269 6e64 6578 3d22  0115" tabindex="
│ │ │ +001123a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001123b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001123c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001123d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001123e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001123f0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +00112400: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +00112410: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00112420: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00112430: 7073 6522 2069 643d 2269 646d 3130 3131  pse" id="idm1011
│ │ │ +00112440: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ +00112450: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00112460: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00112470: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00112480: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00112490: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001124a0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001124b0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001124c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001124d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +001124e0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +001124f0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00112500: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00112510: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00112520: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00112530: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ +00112540: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ +00112550: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ +00112560: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ +00112570: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ +00112580: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ +00112590: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ +001125a0: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ +001125b0: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ +001125c0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ +001125d0: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ +001125e0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +001125f0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +00112600: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ +00112610: 202d 7920 2272 7379 736c 6f67 220a 0a65   -y "rsyslog"..e
│ │ │ +00112620: 6c73 650a 2020 2020 2667 743b 2661 6d70  lse.    &gt;&amp
│ │ │ +00112630: 3b32 2065 6368 6f20 2752 656d 6564 6961  ;2 echo 'Remedia
│ │ │ +00112640: 7469 6f6e 2069 7320 6e6f 7420 6170 706c  tion is not appl
│ │ │ +00112650: 6963 6162 6c65 2c20 6e6f 7468 696e 6720  icable, nothing 
│ │ │ +00112660: 7761 7320 646f 6e65 270a 6669 0a3c 2f63  was done'.fi.</c
│ │ │ +00112670: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00112680: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00112690: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +001126a0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +001126b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +001126c0: 6964 6d31 3031 3136 2220 7461 6269 6e64  idm10116" tabind
│ │ │ +001126d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +001126e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +001126f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00112700: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00112710: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00112720: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +00112730: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +00112740: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00112750: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00112760: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00112770: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ +00112780: 3136 223e 3c70 7265 3e3c 636f 6465 3e0a  16"><pre><code>.
│ │ │ +00112790: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ +001127a0: 6520 3d20 2272 7379 736c 6f67 220a 7665  e = "rsyslog".ve
│ │ │ +001127b0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ +001127c0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +001127d0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +001127e0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +001127f0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00112800: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00112810: 646d 3130 3131 3722 2074 6162 696e 6465  dm10117" tabinde
│ │ │ +00112820: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00112830: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00112840: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00112850: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00112860: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00112870: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +00112880: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00112890: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001128a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001128b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001128c0: 6d31 3031 3137 223e 3c74 6162 6c65 2063  m10117"><table c
│ │ │ +001128d0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +001128e0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +001128f0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00112900: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00112910: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00112920: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00112930: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00112940: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00112950: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00112960: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00112970: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00112980: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00112990: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +001129a0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001129b0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001129c0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +001129d0: 7273 7973 6c6f 670a 0a63 6c61 7373 2069  rsyslog..class i
│ │ │ +001129e0: 6e73 7461 6c6c 5f72 7379 736c 6f67 207b  nstall_rsyslog {
│ │ │ +001129f0: 0a20 2070 6163 6b61 6765 207b 2027 7273  .  package { 'rs
│ │ │ +00112a00: 7973 6c6f 6727 3a0a 2020 2020 656e 7375  yslog':.    ensu
│ │ │ +00112a10: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +00112a20: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │  00112a30: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00112a40: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00112a50: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00112a60: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00112a70: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  00112a80: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  00112a90: 6e74 656e 745f 7275 6c65 5f73 6572 7669  ntent_rule_servi
│ │ │ @@ -70537,150 +70537,150 @@
│ │ │  00113880: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00113890: 646d 3130 3230 3022 2074 6162 696e 6465  dm10200" tabinde
│ │ │  001138a0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001138b0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001138c0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001138d0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001138e0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001138f0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -00113900: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -00113910: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00113920: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00113930: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00113940: 7073 6522 2069 643d 2269 646d 3130 3230  pse" id="idm1020
│ │ │ -00113950: 3022 3e3c 7072 653e 3c63 6f64 653e 0a5b  0"><pre><code>.[
│ │ │ -00113960: 6375 7374 6f6d 697a 6174 696f 6e73 2e73  customizations.s
│ │ │ -00113970: 6572 7669 6365 735d 0a65 6e61 626c 6564  ervices].enabled
│ │ │ -00113980: 203d 205b 2272 7379 736c 6f67 225d 0a3c   = ["rsyslog"].<
│ │ │ -00113990: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -001139a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -001139b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -001139c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -001139d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -001139e0: 2223 6964 6d31 3032 3031 2220 7461 6269  "#idm10201" tabi
│ │ │ -001139f0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00113a00: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00113a10: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00113a20: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00113a30: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00113a40: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00113a50: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00113a60: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00113a70: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00113a80: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00113a90: 2269 646d 3130 3230 3122 3e3c 7461 626c  "idm10201"><tabl
│ │ │ -00113aa0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00113ab0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00113ac0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00113ad0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00113ae0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00113af0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00113b00: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00113b10: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00113b20: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00113b30: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00113b40: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00113b50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00113b60: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00113b70: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00113b80: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00113b90: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ -00113ba0: 655f 7273 7973 6c6f 670a 0a63 6c61 7373  e_rsyslog..class
│ │ │ -00113bb0: 2065 6e61 626c 655f 7273 7973 6c6f 6720   enable_rsyslog 
│ │ │ -00113bc0: 7b0a 2020 7365 7276 6963 6520 7b27 7273  {.  service {'rs
│ │ │ -00113bd0: 7973 6c6f 6727 3a0a 2020 2020 656e 6162  yslog':.    enab
│ │ │ -00113be0: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ -00113bf0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00113c00: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ -00113c10: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00113c20: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00113c30: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00113c40: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00113c50: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00113c60: 743d 2223 6964 6d31 3032 3032 2220 7461  t="#idm10202" ta
│ │ │ -00113c70: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00113c80: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00113c90: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00113ca0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00113cb0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00113cc0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00113cd0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00113ce0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00113cf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00113d00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00113d10: 6964 3d22 6964 6d31 3032 3032 223e 3c74  id="idm10202"><t
│ │ │ -00113d20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00113d30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00113d40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00113d50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00113d60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00113d70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00113d80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00113d90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00113da0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00113db0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00113dc0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00113dd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00113de0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00113df0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00113e00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00113e10: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -00113e20: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00113e30: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -00113e40: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -00113e50: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -00113e60: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -00113e70: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ -00113e80: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00113e90: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -00113ea0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00113eb0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00113ec0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00113ed0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00113ee0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00113ef0: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ -00113f00: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ -00113f10: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ -00113f20: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ -00113f30: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ -00113f40: 6520 7273 7973 6c6f 670a 2020 626c 6f63  e rsyslog.  bloc
│ │ │ -00113f50: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ -00113f60: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00113f70: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ -00113f80: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ -00113f90: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ -00113fa0: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ -00113fb0: 7273 7973 6c6f 6720 5365 7276 6963 6520  rsyslog Service 
│ │ │ -00113fc0: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ -00113fd0: 2072 7379 736c 6f67 0a20 2020 2061 6e73   rsyslog.    ans
│ │ │ -00113fe0: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ -00113ff0: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ -00114000: 3a20 7273 7973 6c6f 670a 2020 2020 2020  : rsyslog.      
│ │ │ -00114010: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ -00114020: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ -00114030: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ -00114040: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ -00114050: 0a20 2020 202d 2027 2272 7379 736c 6f67  .    - '"rsyslog
│ │ │ -00114060: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00114070: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ -00114080: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00114090: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -001140a0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -001140b0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -001140c0: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ -001140d0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -001140e0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -001140f0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00114100: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00114110: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00114120: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00114130: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00114140: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ -00114150: 7669 6365 5f72 7379 736c 6f67 5f65 6e61  vice_rsyslog_ena
│ │ │ -00114160: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +001138f0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00113900: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00113910: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00113920: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00113930: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00113940: 646d 3130 3230 3022 3e3c 7461 626c 6520  dm10200"><table 
│ │ │ +00113950: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00113960: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00113970: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00113980: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00113990: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001139a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001139b0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001139c0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001139d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001139e0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001139f0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00113a00: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00113a10: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00113a20: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00113a30: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00113a40: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +00113a50: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +00113a60: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +00113a70: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +00113a80: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +00113a90: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00113aa0: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ +00113ab0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00113ac0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00113ad0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00113ae0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00113af0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00113b00: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00113b10: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00113b20: 2020 2d20 7365 7276 6963 655f 7273 7973    - service_rsys
│ │ │ +00113b30: 6c6f 675f 656e 6162 6c65 640a 0a2d 206e  log_enabled..- n
│ │ │ +00113b40: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ +00113b50: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ +00113b60: 6162 6c65 2073 6572 7669 6365 2072 7379  able service rsy
│ │ │ +00113b70: 736c 6f67 0a20 2062 6c6f 636b 3a0a 0a20  slog.  block:.. 
│ │ │ +00113b80: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ +00113b90: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +00113ba0: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ +00113bb0: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ +00113bc0: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ +00113bd0: 6d65 3a20 456e 6162 6c65 2072 7379 736c  me: Enable rsysl
│ │ │ +00113be0: 6f67 2053 6572 7669 6365 202d 2045 6e61  og Service - Ena
│ │ │ +00113bf0: 626c 6520 5365 7276 6963 6520 7273 7973  ble Service rsys
│ │ │ +00113c00: 6c6f 670a 2020 2020 616e 7369 626c 652e  log.    ansible.
│ │ │ +00113c10: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ +00113c20: 0a20 2020 2020 206e 616d 653a 2072 7379  .      name: rsy
│ │ │ +00113c30: 736c 6f67 0a20 2020 2020 2065 6e61 626c  slog.      enabl
│ │ │ +00113c40: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ +00113c50: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ +00113c60: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ +00113c70: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ +00113c80: 2d20 2722 7273 7973 6c6f 6722 2069 6e20  - '"rsyslog" in 
│ │ │ +00113c90: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00113ca0: 636b 6167 6573 270a 2020 7768 656e 3a20  ckages'.  when: 
│ │ │ +00113cb0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +00113cc0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00113cd0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00113ce0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00113cf0: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ +00113d00: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00113d10: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00113d20: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00113d30: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00113d40: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00113d50: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00113d60: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00113d70: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ +00113d80: 7273 7973 6c6f 675f 656e 6162 6c65 640a  rsyslog_enabled.
│ │ │ +00113d90: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00113da0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00113db0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00113dc0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00113dd0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00113de0: 3d22 2369 646d 3130 3230 3122 2074 6162  ="#idm10201" tab
│ │ │ +00113df0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00113e00: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00113e10: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00113e20: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00113e30: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00113e40: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +00113e50: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +00113e60: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00113e70: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00113e80: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00113e90: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00113ea0: 3130 3230 3122 3e3c 7072 653e 3c63 6f64  10201"><pre><cod
│ │ │ +00113eb0: 653e 0a5b 6375 7374 6f6d 697a 6174 696f  e>.[customizatio
│ │ │ +00113ec0: 6e73 2e73 6572 7669 6365 735d 0a65 6e61  ns.services].ena
│ │ │ +00113ed0: 626c 6564 203d 205b 2272 7379 736c 6f67  bled = ["rsyslog
│ │ │ +00113ee0: 225d 0a3c 2f63 6f64 653e 3c2f 7072 653e  "].</code></pre>
│ │ │ +00113ef0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00113f00: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00113f10: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00113f20: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00113f30: 6765 743d 2223 6964 6d31 3032 3032 2220  get="#idm10202" 
│ │ │ +00113f40: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00113f50: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00113f60: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00113f70: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00113f80: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00113f90: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00113fa0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00113fb0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00113fc0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00113fd0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00113fe0: 2069 643d 2269 646d 3130 3230 3222 3e3c   id="idm10202"><
│ │ │ +00113ff0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00114000: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00114010: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00114020: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00114030: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00114040: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00114050: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00114060: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00114070: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00114080: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00114090: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001140a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001140b0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001140c0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +001140d0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +001140e0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ +001140f0: 6e61 626c 655f 7273 7973 6c6f 670a 0a63  nable_rsyslog..c
│ │ │ +00114100: 6c61 7373 2065 6e61 626c 655f 7273 7973  lass enable_rsys
│ │ │ +00114110: 6c6f 6720 7b0a 2020 7365 7276 6963 6520  log {.  service 
│ │ │ +00114120: 7b27 7273 7973 6c6f 6727 3a0a 2020 2020  {'rsyslog':.    
│ │ │ +00114130: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ +00114140: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ +00114150: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ +00114160: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  00114170: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  00114180: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  00114190: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  001141a0: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  001141b0: 3d22 6368 696c 6472 656e 2d78 6363 6466  ="children-xccdf
│ │ │  001141c0: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  001141d0: 636f 6e74 656e 745f 6772 6f75 705f 6e65  content_group_ne
│ │ │ @@ -130279,177 +130279,177 @@
│ │ │  001fce60: 6765 743d 2223 6964 6d31 3838 3833 2220  get="#idm18883" 
│ │ │  001fce70: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001fce80: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  001fce90: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  001fcea0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  001fceb0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  001fcec0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001fced0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -001fcee0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -001fcef0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -001fcf00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -001fcf10: 2069 643d 2269 646d 3138 3838 3322 3e3c   id="idm18883"><
│ │ │ -001fcf20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -001fcf30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -001fcf40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -001fcf50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -001fcf60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001fcf70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001fcf80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001fcf90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001fcfa0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001fcfb0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001fcfc0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -001fcfd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001fcfe0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -001fcff0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -001fd000: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -001fd010: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -001fd020: 7265 6d6f 7665 5f73 6574 726f 7562 6c65  remove_setrouble
│ │ │ -001fd030: 7368 6f6f 742d 706c 7567 696e 730a 0a63  shoot-plugins..c
│ │ │ -001fd040: 6c61 7373 2072 656d 6f76 655f 7365 7472  lass remove_setr
│ │ │ -001fd050: 6f75 626c 6573 686f 6f74 2d70 6c75 6769  oubleshoot-plugi
│ │ │ -001fd060: 6e73 207b 0a20 2070 6163 6b61 6765 207b  ns {.  package {
│ │ │ -001fd070: 2027 7365 7472 6f75 626c 6573 686f 6f74   'setroubleshoot
│ │ │ -001fd080: 2d70 6c75 6769 6e73 273a 0a20 2020 2065  -plugins':.    e
│ │ │ -001fd090: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -001fd0a0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -001fd0b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -001fd0c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -001fd0d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -001fd0e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -001fd0f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -001fd100: 646d 3138 3838 3422 2074 6162 696e 6465  dm18884" tabinde
│ │ │ -001fd110: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -001fd120: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -001fd130: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -001fd140: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -001fd150: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001fd160: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -001fd170: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -001fd180: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -001fd190: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -001fd1a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -001fd1b0: 646d 3138 3838 3422 3e3c 7461 626c 6520  dm18884"><table 
│ │ │ -001fd1c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -001fd1d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -001fd1e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -001fd1f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -001fd200: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -001fd210: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001fd220: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -001fd230: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -001fd240: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001fd250: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -001fd260: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -001fd270: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -001fd280: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -001fd290: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -001fd2a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -001fd2b0: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ -001fd2c0: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -001fd2d0: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ -001fd2e0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ -001fd2f0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ -001fd300: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -001fd310: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -001fd320: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -001fd330: 7372 7570 7469 6f6e 0a20 202d 206c 6f77  sruption.  - low
│ │ │ -001fd340: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -001fd350: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -001fd360: 202d 2070 6163 6b61 6765 5f73 6574 726f   - package_setro
│ │ │ -001fd370: 7562 6c65 7368 6f6f 742d 706c 7567 696e  ubleshoot-plugin
│ │ │ -001fd380: 735f 7265 6d6f 7665 640a 0a2d 206e 616d  s_removed..- nam
│ │ │ -001fd390: 653a 2045 6e73 7572 6520 7365 7472 6f75  e: Ensure setrou
│ │ │ -001fd3a0: 626c 6573 686f 6f74 2d70 6c75 6769 6e73  bleshoot-plugins
│ │ │ -001fd3b0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001fd3c0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001fd3d0: 2073 6574 726f 7562 6c65 7368 6f6f 742d   setroubleshoot-
│ │ │ -001fd3e0: 706c 7567 696e 730a 2020 2020 7374 6174  plugins.    stat
│ │ │ -001fd3f0: 653a 2061 6273 656e 740a 2020 7768 656e  e: absent.  when
│ │ │ -001fd400: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -001fd410: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -001fd420: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -001fd430: 733a 0a20 202d 2064 6973 6162 6c65 5f73  s:.  - disable_s
│ │ │ -001fd440: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -001fd450: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -001fd460: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -001fd470: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ -001fd480: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -001fd490: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -001fd4a0: 7365 7472 6f75 626c 6573 686f 6f74 2d70  setroubleshoot-p
│ │ │ -001fd4b0: 6c75 6769 6e73 5f72 656d 6f76 6564 0a3c  lugins_removed.<
│ │ │ -001fd4c0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -001fd4d0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -001fd4e0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -001fd4f0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -001fd500: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -001fd510: 2223 6964 6d31 3838 3835 2220 7461 6269  "#idm18885" tabi
│ │ │ -001fd520: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -001fd530: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -001fd540: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -001fd550: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -001fd560: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -001fd570: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -001fd580: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -001fd590: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -001fd5a0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -001fd5b0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -001fd5c0: 646d 3138 3838 3522 3e3c 7461 626c 6520  dm18885"><table 
│ │ │ -001fd5d0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -001fd5e0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -001fd5f0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -001fd600: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -001fd610: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -001fd620: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001fd630: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -001fd640: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -001fd650: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001fd660: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -001fd670: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -001fd680: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -001fd690: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -001fd6a0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -001fd6b0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -001fd6c0: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ -001fd6d0: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ -001fd6e0: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ -001fd6f0: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ -001fd700: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ -001fd710: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ -001fd720: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ -001fd730: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ -001fd740: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ -001fd750: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ -001fd760: 643b 2074 6865 6e0a 0a23 2043 4155 5449  d; then..# CAUTI
│ │ │ -001fd770: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ -001fd780: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ -001fd790: 2072 656d 6f76 6520 7365 7472 6f75 626c   remove setroubl
│ │ │ -001fd7a0: 6573 686f 6f74 2d70 6c75 6769 6e73 0a23  eshoot-plugins.#
│ │ │ -001fd7b0: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -001fd7c0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -001fd7d0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -001fd7e0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -001fd7f0: 6420 6f6e 2073 6574 726f 7562 6c65 7368  d on setroublesh
│ │ │ -001fd800: 6f6f 742d 706c 7567 696e 732e 2045 7865  oot-plugins. Exe
│ │ │ -001fd810: 6375 7465 2074 6869 730a 2309 2020 2072  cute this.#.   r
│ │ │ -001fd820: 656d 6564 6961 7469 6f6e 2041 4654 4552  emediation AFTER
│ │ │ -001fd830: 2074 6573 7469 6e67 206f 6e20 6120 6e6f   testing on a no
│ │ │ -001fd840: 6e2d 7072 6f64 7563 7469 6f6e 0a23 0920  n-production.#. 
│ │ │ -001fd850: 2020 7379 7374 656d 210a 0a44 4542 4941    system!..DEBIA
│ │ │ -001fd860: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -001fd870: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -001fd880: 7420 7265 6d6f 7665 202d 7920 2273 6574  t remove -y "set
│ │ │ -001fd890: 726f 7562 6c65 7368 6f6f 742d 706c 7567  roubleshoot-plug
│ │ │ -001fd8a0: 696e 7322 0a0a 656c 7365 0a20 2020 2026  ins"..else.    &
│ │ │ -001fd8b0: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ -001fd8c0: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ -001fd8d0: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ -001fd8e0: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ -001fd8f0: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +001fced0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +001fcee0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001fcef0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001fcf00: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001fcf10: 2220 6964 3d22 6964 6d31 3838 3833 223e  " id="idm18883">
│ │ │ +001fcf20: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001fcf30: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001fcf40: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001fcf50: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001fcf60: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001fcf70: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001fcf80: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001fcf90: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001fcfa0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001fcfb0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001fcfc0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001fcfd0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001fcfe0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001fcff0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +001fd000: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +001fd010: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +001fd020: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +001fd030: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +001fd040: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +001fd050: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +001fd060: 6167 733a 0a20 202d 2064 6973 6162 6c65  ags:.  - disable
│ │ │ +001fd070: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +001fd080: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +001fd090: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +001fd0a0: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ +001fd0b0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001fd0c0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001fd0d0: 655f 7365 7472 6f75 626c 6573 686f 6f74  e_setroubleshoot
│ │ │ +001fd0e0: 2d70 6c75 6769 6e73 5f72 656d 6f76 6564  -plugins_removed
│ │ │ +001fd0f0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ +001fd100: 2073 6574 726f 7562 6c65 7368 6f6f 742d   setroubleshoot-
│ │ │ +001fd110: 706c 7567 696e 7320 6973 2072 656d 6f76  plugins is remov
│ │ │ +001fd120: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +001fd130: 2020 6e61 6d65 3a20 7365 7472 6f75 626c    name: setroubl
│ │ │ +001fd140: 6573 686f 6f74 2d70 6c75 6769 6e73 0a20  eshoot-plugins. 
│ │ │ +001fd150: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +001fd160: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +001fd170: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +001fd180: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +001fd190: 270a 2020 7461 6773 3a0a 2020 2d20 6469  '.  tags:.  - di
│ │ │ +001fd1a0: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +001fd1b0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001fd1c0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001fd1d0: 7469 6f6e 0a20 202d 206c 6f77 5f73 6576  tion.  - low_sev
│ │ │ +001fd1e0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +001fd1f0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +001fd200: 6163 6b61 6765 5f73 6574 726f 7562 6c65  ackage_setrouble
│ │ │ +001fd210: 7368 6f6f 742d 706c 7567 696e 735f 7265  shoot-plugins_re
│ │ │ +001fd220: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +001fd230: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +001fd240: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +001fd250: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +001fd260: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +001fd270: 7461 7267 6574 3d22 2369 646d 3138 3838  target="#idm1888
│ │ │ +001fd280: 3422 2074 6162 696e 6465 783d 2230 2220  4" tabindex="0" 
│ │ │ +001fd290: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +001fd2a0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +001fd2b0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +001fd2c0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +001fd2d0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +001fd2e0: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +001fd2f0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001fd300: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001fd310: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001fd320: 2220 6964 3d22 6964 6d31 3838 3834 223e  " id="idm18884">
│ │ │ +001fd330: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001fd340: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001fd350: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001fd360: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001fd370: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001fd380: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001fd390: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001fd3a0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001fd3b0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001fd3c0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001fd3d0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001fd3e0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001fd3f0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001fd400: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +001fd410: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +001fd420: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ +001fd430: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ +001fd440: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ +001fd450: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ +001fd460: 6620 6470 6b67 2d71 7565 7279 202d 2d73  f dpkg-query --s
│ │ │ +001fd470: 686f 7720 2d2d 7368 6f77 666f 726d 6174  how --showformat
│ │ │ +001fd480: 3d27 247b 6462 3a53 7461 7475 732d 5374  ='${db:Status-St
│ │ │ +001fd490: 6174 7573 7d0a 2720 276c 696e 7578 2d62  atus}.' 'linux-b
│ │ │ +001fd4a0: 6173 6527 2032 2667 743b 2f64 6576 2f6e  ase' 2&gt;/dev/n
│ │ │ +001fd4b0: 756c 6c20 7c20 6772 6570 202d 7120 5e69  ull | grep -q ^i
│ │ │ +001fd4c0: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a  nstalled; then..
│ │ │ +001fd4d0: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ +001fd4e0: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ +001fd4f0: 7074 2077 696c 6c20 7265 6d6f 7665 2073  pt will remove s
│ │ │ +001fd500: 6574 726f 7562 6c65 7368 6f6f 742d 706c  etroubleshoot-pl
│ │ │ +001fd510: 7567 696e 730a 2309 2020 2066 726f 6d20  ugins.#.   from 
│ │ │ +001fd520: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ +001fd530: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ +001fd540: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ +001fd550: 7420 6465 7065 6e64 206f 6e20 7365 7472  t depend on setr
│ │ │ +001fd560: 6f75 626c 6573 686f 6f74 2d70 6c75 6769  oubleshoot-plugi
│ │ │ +001fd570: 6e73 2e20 4578 6563 7574 6520 7468 6973  ns. Execute this
│ │ │ +001fd580: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ +001fd590: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ +001fd5a0: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ +001fd5b0: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ +001fd5c0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +001fd5d0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +001fd5e0: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ +001fd5f0: 2d79 2022 7365 7472 6f75 626c 6573 686f  -y "setroublesho
│ │ │ +001fd600: 6f74 2d70 6c75 6769 6e73 220a 0a65 6c73  ot-plugins"..els
│ │ │ +001fd610: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ +001fd620: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ +001fd630: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ +001fd640: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ +001fd650: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +001fd660: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +001fd670: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +001fd680: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +001fd690: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +001fd6a0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +001fd6b0: 6d31 3838 3835 2220 7461 6269 6e64 6578  m18885" tabindex
│ │ │ +001fd6c0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +001fd6d0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +001fd6e0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +001fd6f0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +001fd700: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +001fd710: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +001fd720: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001fd730: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001fd740: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001fd750: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001fd760: 3138 3838 3522 3e3c 7461 626c 6520 636c  18885"><table cl
│ │ │ +001fd770: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001fd780: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001fd790: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001fd7a0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001fd7b0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001fd7c0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001fd7d0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001fd7e0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001fd7f0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001fd800: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001fd810: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001fd820: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001fd830: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +001fd840: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001fd850: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001fd860: 696e 636c 7564 6520 7265 6d6f 7665 5f73  include remove_s
│ │ │ +001fd870: 6574 726f 7562 6c65 7368 6f6f 742d 706c  etroubleshoot-pl
│ │ │ +001fd880: 7567 696e 730a 0a63 6c61 7373 2072 656d  ugins..class rem
│ │ │ +001fd890: 6f76 655f 7365 7472 6f75 626c 6573 686f  ove_setroublesho
│ │ │ +001fd8a0: 6f74 2d70 6c75 6769 6e73 207b 0a20 2070  ot-plugins {.  p
│ │ │ +001fd8b0: 6163 6b61 6765 207b 2027 7365 7472 6f75  ackage { 'setrou
│ │ │ +001fd8c0: 626c 6573 686f 6f74 2d70 6c75 6769 6e73  bleshoot-plugins
│ │ │ +001fd8d0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +001fd8e0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +001fd8f0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  001fd900: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  001fd910: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  001fd920: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  001fd930: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  001fd940: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  001fd950: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  001fd960: 6c65 5f70 6163 6b61 6765 5f73 6574 726f  le_package_setro
│ │ │ @@ -130585,177 +130585,177 @@
│ │ │  001fe180: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  001fe190: 6964 6d31 3838 3937 2220 7461 6269 6e64  idm18897" tabind
│ │ │  001fe1a0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  001fe1b0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  001fe1c0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  001fe1d0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  001fe1e0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001fe1f0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -001fe200: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -001fe210: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -001fe220: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -001fe230: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -001fe240: 646d 3138 3839 3722 3e3c 7461 626c 6520  dm18897"><table 
│ │ │ -001fe250: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -001fe260: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -001fe270: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -001fe280: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -001fe290: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -001fe2a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001fe2b0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -001fe2c0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -001fe2d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001fe2e0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -001fe2f0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -001fe300: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -001fe310: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -001fe320: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -001fe330: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -001fe340: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -001fe350: 5f73 6574 726f 7562 6c65 7368 6f6f 742d  _setroubleshoot-
│ │ │ -001fe360: 7365 7276 6572 0a0a 636c 6173 7320 7265  server..class re
│ │ │ -001fe370: 6d6f 7665 5f73 6574 726f 7562 6c65 7368  move_setroublesh
│ │ │ -001fe380: 6f6f 742d 7365 7276 6572 207b 0a20 2070  oot-server {.  p
│ │ │ -001fe390: 6163 6b61 6765 207b 2027 7365 7472 6f75  ackage { 'setrou
│ │ │ -001fe3a0: 626c 6573 686f 6f74 2d73 6572 7665 7227  bleshoot-server'
│ │ │ -001fe3b0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -001fe3c0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -001fe3d0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -001fe3e0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -001fe3f0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -001fe400: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -001fe410: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -001fe420: 6765 743d 2223 6964 6d31 3838 3938 2220  get="#idm18898" 
│ │ │ -001fe430: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -001fe440: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -001fe450: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -001fe460: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -001fe470: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -001fe480: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001fe490: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -001fe4a0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -001fe4b0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -001fe4c0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -001fe4d0: 2220 6964 3d22 6964 6d31 3838 3938 223e  " id="idm18898">
│ │ │ -001fe4e0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -001fe4f0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -001fe500: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -001fe510: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -001fe520: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -001fe530: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -001fe540: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001fe550: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -001fe560: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001fe570: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -001fe580: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -001fe590: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -001fe5a0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -001fe5b0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -001fe5c0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -001fe5d0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -001fe5e0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -001fe5f0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -001fe600: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -001fe610: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -001fe620: 6167 733a 0a20 202d 2064 6973 6162 6c65  ags:.  - disable
│ │ │ -001fe630: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001fe640: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001fe650: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001fe660: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ -001fe670: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -001fe680: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -001fe690: 655f 7365 7472 6f75 626c 6573 686f 6f74  e_setroubleshoot
│ │ │ -001fe6a0: 2d73 6572 7665 725f 7265 6d6f 7665 640a  -server_removed.
│ │ │ -001fe6b0: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ -001fe6c0: 7365 7472 6f75 626c 6573 686f 6f74 2d73  setroubleshoot-s
│ │ │ -001fe6d0: 6572 7665 7220 6973 2072 656d 6f76 6564  erver is removed
│ │ │ -001fe6e0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -001fe6f0: 6e61 6d65 3a20 7365 7472 6f75 626c 6573  name: setroubles
│ │ │ -001fe700: 686f 6f74 2d73 6572 7665 720a 2020 2020  hoot-server.    
│ │ │ -001fe710: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -001fe720: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -001fe730: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -001fe740: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -001fe750: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -001fe760: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -001fe770: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -001fe780: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -001fe790: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -001fe7a0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -001fe7b0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -001fe7c0: 6167 655f 7365 7472 6f75 626c 6573 686f  age_setroublesho
│ │ │ -001fe7d0: 6f74 2d73 6572 7665 725f 7265 6d6f 7665  ot-server_remove
│ │ │ -001fe7e0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -001fe7f0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -001fe800: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001fe810: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001fe820: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001fe830: 6574 3d22 2369 646d 3138 3839 3922 2074  et="#idm18899" t
│ │ │ -001fe840: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001fe850: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001fe860: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -001fe870: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -001fe880: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -001fe890: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001fe8a0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -001fe8b0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001fe8c0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001fe8d0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001fe8e0: 3d22 6964 6d31 3838 3939 223e 3c74 6162  ="idm18899"><tab
│ │ │ -001fe8f0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001fe900: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001fe910: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001fe920: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001fe930: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001fe940: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001fe950: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001fe960: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001fe970: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001fe980: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001fe990: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001fe9a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001fe9b0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001fe9c0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001fe9d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001fe9e0: 636f 6465 3e23 2052 656d 6564 6961 7469  code># Remediati
│ │ │ -001fe9f0: 6f6e 2069 7320 6170 706c 6963 6162 6c65  on is applicable
│ │ │ -001fea00: 206f 6e6c 7920 696e 2063 6572 7461 696e   only in certain
│ │ │ -001fea10: 2070 6c61 7466 6f72 6d73 0a69 6620 6470   platforms.if dp
│ │ │ -001fea20: 6b67 2d71 7565 7279 202d 2d73 686f 7720  kg-query --show 
│ │ │ -001fea30: 2d2d 7368 6f77 666f 726d 6174 3d27 247b  --showformat='${
│ │ │ -001fea40: 6462 3a53 7461 7475 732d 5374 6174 7573  db:Status-Status
│ │ │ -001fea50: 7d0a 2720 276c 696e 7578 2d62 6173 6527  }.' 'linux-base'
│ │ │ -001fea60: 2032 2667 743b 2f64 6576 2f6e 756c 6c20   2&gt;/dev/null 
│ │ │ -001fea70: 7c20 6772 6570 202d 7120 5e69 6e73 7461  | grep -q ^insta
│ │ │ -001fea80: 6c6c 6564 3b20 7468 656e 0a0a 2320 4341  lled; then..# CA
│ │ │ -001fea90: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -001feaa0: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -001feab0: 696c 6c20 7265 6d6f 7665 2073 6574 726f  ill remove setro
│ │ │ -001feac0: 7562 6c65 7368 6f6f 742d 7365 7276 6572  ubleshoot-server
│ │ │ -001fead0: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ -001feae0: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ -001feaf0: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ -001feb00: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ -001feb10: 656e 6420 6f6e 2073 6574 726f 7562 6c65  end on setrouble
│ │ │ -001feb20: 7368 6f6f 742d 7365 7276 6572 2e20 4578  shoot-server. Ex
│ │ │ -001feb30: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ -001feb40: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ -001feb50: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ -001feb60: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ -001feb70: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ -001feb80: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -001feb90: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -001feba0: 6574 2072 656d 6f76 6520 2d79 2022 7365  et remove -y "se
│ │ │ -001febb0: 7472 6f75 626c 6573 686f 6f74 2d73 6572  troubleshoot-ser
│ │ │ -001febc0: 7665 7222 0a0a 656c 7365 0a20 2020 2026  ver"..else.    &
│ │ │ -001febd0: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ -001febe0: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ -001febf0: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ -001fec00: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ -001fec10: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +001fe1f0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +001fe200: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +001fe210: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +001fe220: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +001fe230: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +001fe240: 6964 6d31 3838 3937 223e 3c74 6162 6c65  idm18897"><table
│ │ │ +001fe250: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +001fe260: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +001fe270: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +001fe280: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +001fe290: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +001fe2a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001fe2b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +001fe2c0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +001fe2d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001fe2e0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +001fe2f0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +001fe300: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +001fe310: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +001fe320: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +001fe330: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +001fe340: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +001fe350: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +001fe360: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +001fe370: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +001fe380: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +001fe390: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +001fe3a0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +001fe3b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +001fe3c0: 6973 7275 7074 696f 6e0a 2020 2d20 6c6f  isruption.  - lo
│ │ │ +001fe3d0: 775f 7365 7665 7269 7479 0a20 202d 206e  w_severity.  - n
│ │ │ +001fe3e0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +001fe3f0: 2020 2d20 7061 636b 6167 655f 7365 7472    - package_setr
│ │ │ +001fe400: 6f75 626c 6573 686f 6f74 2d73 6572 7665  oubleshoot-serve
│ │ │ +001fe410: 725f 7265 6d6f 7665 640a 0a2d 206e 616d  r_removed..- nam
│ │ │ +001fe420: 653a 2045 6e73 7572 6520 7365 7472 6f75  e: Ensure setrou
│ │ │ +001fe430: 626c 6573 686f 6f74 2d73 6572 7665 7220  bleshoot-server 
│ │ │ +001fe440: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ +001fe450: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +001fe460: 7365 7472 6f75 626c 6573 686f 6f74 2d73  setroubleshoot-s
│ │ │ +001fe470: 6572 7665 720a 2020 2020 7374 6174 653a  erver.    state:
│ │ │ +001fe480: 2061 6273 656e 740a 2020 7768 656e 3a20   absent.  when: 
│ │ │ +001fe490: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +001fe4a0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +001fe4b0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +001fe4c0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +001fe4d0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +001fe4e0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +001fe4f0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +001fe500: 6c6f 775f 7365 7665 7269 7479 0a20 202d  low_severity.  -
│ │ │ +001fe510: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +001fe520: 640a 2020 2d20 7061 636b 6167 655f 7365  d.  - package_se
│ │ │ +001fe530: 7472 6f75 626c 6573 686f 6f74 2d73 6572  troubleshoot-ser
│ │ │ +001fe540: 7665 725f 7265 6d6f 7665 640a 3c2f 636f  ver_removed.</co
│ │ │ +001fe550: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +001fe560: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +001fe570: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +001fe580: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +001fe590: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +001fe5a0: 646d 3138 3839 3822 2074 6162 696e 6465  dm18898" tabinde
│ │ │ +001fe5b0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +001fe5c0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +001fe5d0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +001fe5e0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +001fe5f0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +001fe600: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ +001fe610: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ +001fe620: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +001fe630: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +001fe640: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +001fe650: 3838 3938 223e 3c74 6162 6c65 2063 6c61  8898"><table cla
│ │ │ +001fe660: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +001fe670: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +001fe680: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +001fe690: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +001fe6a0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +001fe6b0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001fe6c0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +001fe6d0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +001fe6e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001fe6f0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +001fe700: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +001fe710: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +001fe720: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +001fe730: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +001fe740: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ +001fe750: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ +001fe760: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ +001fe770: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ +001fe780: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565  orms.if dpkg-que
│ │ │ +001fe790: 7279 202d 2d73 686f 7720 2d2d 7368 6f77  ry --show --show
│ │ │ +001fe7a0: 666f 726d 6174 3d27 247b 6462 3a53 7461  format='${db:Sta
│ │ │ +001fe7b0: 7475 732d 5374 6174 7573 7d0a 2720 276c  tus-Status}.' 'l
│ │ │ +001fe7c0: 696e 7578 2d62 6173 6527 2032 2667 743b  inux-base' 2&gt;
│ │ │ +001fe7d0: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570  /dev/null | grep
│ │ │ +001fe7e0: 202d 7120 5e69 6e73 7461 6c6c 6564 3b20   -q ^installed; 
│ │ │ +001fe7f0: 7468 656e 0a0a 2320 4341 5554 494f 4e3a  then..# CAUTION:
│ │ │ +001fe800: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ +001fe810: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ +001fe820: 6d6f 7665 2073 6574 726f 7562 6c65 7368  move setroublesh
│ │ │ +001fe830: 6f6f 742d 7365 7276 6572 0a23 0920 2020  oot-server.#.   
│ │ │ +001fe840: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ +001fe850: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ +001fe860: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ +001fe870: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ +001fe880: 2073 6574 726f 7562 6c65 7368 6f6f 742d   setroubleshoot-
│ │ │ +001fe890: 7365 7276 6572 2e20 4578 6563 7574 6520  server. Execute 
│ │ │ +001fe8a0: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ +001fe8b0: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ +001fe8c0: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ +001fe8d0: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ +001fe8e0: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ +001fe8f0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +001fe900: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ +001fe910: 6f76 6520 2d79 2022 7365 7472 6f75 626c  ove -y "setroubl
│ │ │ +001fe920: 6573 686f 6f74 2d73 6572 7665 7222 0a0a  eshoot-server"..
│ │ │ +001fe930: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ +001fe940: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ +001fe950: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ +001fe960: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ +001fe970: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +001fe980: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +001fe990: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +001fe9a0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +001fe9b0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +001fe9c0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +001fe9d0: 2369 646d 3138 3839 3922 2074 6162 696e  #idm18899" tabin
│ │ │ +001fe9e0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +001fe9f0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +001fea00: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +001fea10: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +001fea20: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +001fea30: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +001fea40: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +001fea50: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +001fea60: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +001fea70: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +001fea80: 6964 6d31 3838 3939 223e 3c74 6162 6c65  idm18899"><table
│ │ │ +001fea90: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +001feaa0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +001feab0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +001feac0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +001fead0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +001feae0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001feaf0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +001feb00: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +001feb10: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001feb20: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +001feb30: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +001feb40: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +001feb50: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +001feb60: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +001feb70: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +001feb80: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +001feb90: 655f 7365 7472 6f75 626c 6573 686f 6f74  e_setroubleshoot
│ │ │ +001feba0: 2d73 6572 7665 720a 0a63 6c61 7373 2072  -server..class r
│ │ │ +001febb0: 656d 6f76 655f 7365 7472 6f75 626c 6573  emove_setroubles
│ │ │ +001febc0: 686f 6f74 2d73 6572 7665 7220 7b0a 2020  hoot-server {.  
│ │ │ +001febd0: 7061 636b 6167 6520 7b20 2773 6574 726f  package { 'setro
│ │ │ +001febe0: 7562 6c65 7368 6f6f 742d 7365 7276 6572  ubleshoot-server
│ │ │ +001febf0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +001fec00: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +001fec10: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  001fec20: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  001fec30: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  001fec40: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  001fec50: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  001fec60: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  001fec70: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  001fec80: 6c65 5f70 6163 6b61 6765 5f73 6574 726f  le_package_setro
│ │ │ @@ -130891,172 +130891,172 @@
│ │ │  001ff4a0: 6172 6765 743d 2223 6964 6d31 3839 3131  arget="#idm18911
│ │ │  001ff4b0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  001ff4c0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  001ff4d0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  001ff4e0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  001ff4f0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  001ff500: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001ff510: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -001ff520: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -001ff530: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -001ff540: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -001ff550: 6522 2069 643d 2269 646d 3138 3931 3122  e" id="idm18911"
│ │ │ -001ff560: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -001ff570: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -001ff580: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -001ff590: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -001ff5a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -001ff5b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -001ff5c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001ff5d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -001ff5e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001ff5f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -001ff600: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -001ff610: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -001ff620: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -001ff630: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -001ff640: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -001ff650: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -001ff660: 6520 7265 6d6f 7665 5f73 6574 726f 7562  e remove_setroub
│ │ │ -001ff670: 6c65 7368 6f6f 740a 0a63 6c61 7373 2072  leshoot..class r
│ │ │ -001ff680: 656d 6f76 655f 7365 7472 6f75 626c 6573  emove_setroubles
│ │ │ -001ff690: 686f 6f74 207b 0a20 2070 6163 6b61 6765  hoot {.  package
│ │ │ -001ff6a0: 207b 2027 7365 7472 6f75 626c 6573 686f   { 'setroublesho
│ │ │ -001ff6b0: 6f74 273a 0a20 2020 2065 6e73 7572 6520  ot':.    ensure 
│ │ │ -001ff6c0: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -001ff6d0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -001ff6e0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -001ff6f0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -001ff700: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -001ff710: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -001ff720: 7461 7267 6574 3d22 2369 646d 3138 3931  target="#idm1891
│ │ │ -001ff730: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -001ff740: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -001ff750: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -001ff760: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -001ff770: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -001ff780: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001ff790: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -001ff7a0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -001ff7b0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001ff7c0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001ff7d0: 7073 6522 2069 643d 2269 646d 3138 3931  pse" id="idm1891
│ │ │ -001ff7e0: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ -001ff7f0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001ff800: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001ff810: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001ff820: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001ff830: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001ff840: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001ff850: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -001ff860: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001ff870: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -001ff880: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -001ff890: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -001ff8a0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -001ff8b0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -001ff8c0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001ff8d0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001ff8e0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -001ff8f0: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -001ff900: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -001ff910: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -001ff920: 2020 7461 6773 3a0a 2020 2d20 6469 7361    tags:.  - disa
│ │ │ -001ff930: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -001ff940: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -001ff950: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -001ff960: 6f6e 0a20 202d 206c 6f77 5f73 6576 6572  on.  - low_sever
│ │ │ -001ff970: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001ff980: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -001ff990: 6b61 6765 5f73 6574 726f 7562 6c65 7368  kage_setroublesh
│ │ │ -001ff9a0: 6f6f 745f 7265 6d6f 7665 640a 0a2d 206e  oot_removed..- n
│ │ │ -001ff9b0: 616d 653a 2045 6e73 7572 6520 7365 7472  ame: Ensure setr
│ │ │ -001ff9c0: 6f75 626c 6573 686f 6f74 2069 7320 7265  oubleshoot is re
│ │ │ -001ff9d0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -001ff9e0: 0a20 2020 206e 616d 653a 2073 6574 726f  .    name: setro
│ │ │ -001ff9f0: 7562 6c65 7368 6f6f 740a 2020 2020 7374  ubleshoot.    st
│ │ │ -001ffa00: 6174 653a 2061 6273 656e 740a 2020 7768  ate: absent.  wh
│ │ │ -001ffa10: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ -001ffa20: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -001ffa30: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -001ffa40: 6167 733a 0a20 202d 2064 6973 6162 6c65  ags:.  - disable
│ │ │ -001ffa50: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001ffa60: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001ffa70: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001ffa80: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ -001ffa90: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -001ffaa0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -001ffab0: 655f 7365 7472 6f75 626c 6573 686f 6f74  e_setroubleshoot
│ │ │ -001ffac0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -001ffad0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -001ffae0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -001ffaf0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -001ffb00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -001ffb10: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -001ffb20: 3839 3133 2220 7461 6269 6e64 6578 3d22  8913" tabindex="
│ │ │ -001ffb30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -001ffb40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -001ffb50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -001ffb60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -001ffb70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -001ffb80: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -001ffb90: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -001ffba0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001ffbb0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001ffbc0: 7073 6522 2069 643d 2269 646d 3138 3931  pse" id="idm1891
│ │ │ -001ffbd0: 3322 3e3c 7461 626c 6520 636c 6173 733d  3"><table class=
│ │ │ -001ffbe0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001ffbf0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001ffc00: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001ffc10: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001ffc20: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001ffc30: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001ffc40: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -001ffc50: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001ffc60: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -001ffc70: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -001ffc80: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -001ffc90: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -001ffca0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -001ffcb0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001ffcc0: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ -001ffcd0: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ -001ffce0: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ -001ffcf0: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ -001ffd00: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ -001ffd10: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ -001ffd20: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ -001ffd30: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ -001ffd40: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ -001ffd50: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ -001ffd60: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ -001ffd70: 6e0a 0a23 2043 4155 5449 4f4e 3a20 5468  n..# CAUTION: Th
│ │ │ -001ffd80: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ -001ffd90: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ -001ffda0: 6520 7365 7472 6f75 626c 6573 686f 6f74  e setroubleshoot
│ │ │ -001ffdb0: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ -001ffdc0: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ -001ffdd0: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ -001ffde0: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ -001ffdf0: 656e 6420 6f6e 2073 6574 726f 7562 6c65  end on setrouble
│ │ │ -001ffe00: 7368 6f6f 742e 2045 7865 6375 7465 2074  shoot. Execute t
│ │ │ -001ffe10: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ -001ffe20: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ -001ffe30: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ -001ffe40: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ -001ffe50: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ -001ffe60: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -001ffe70: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ -001ffe80: 7665 202d 7920 2273 6574 726f 7562 6c65  ve -y "setrouble
│ │ │ -001ffe90: 7368 6f6f 7422 0a0a 656c 7365 0a20 2020  shoot"..else.   
│ │ │ -001ffea0: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ -001ffeb0: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ -001ffec0: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ -001ffed0: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ -001ffee0: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +001ff510: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +001ff520: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +001ff530: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +001ff540: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +001ff550: 7365 2220 6964 3d22 6964 6d31 3839 3131  se" id="idm18911
│ │ │ +001ff560: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +001ff570: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +001ff580: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +001ff590: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +001ff5a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +001ff5b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +001ff5c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001ff5d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +001ff5e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001ff5f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +001ff600: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +001ff610: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +001ff620: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +001ff630: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +001ff640: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +001ff650: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +001ff660: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +001ff670: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +001ff680: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +001ff690: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +001ff6a0: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ +001ff6b0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +001ff6c0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +001ff6d0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +001ff6e0: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +001ff6f0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001ff700: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +001ff710: 6167 655f 7365 7472 6f75 626c 6573 686f  age_setroublesho
│ │ │ +001ff720: 6f74 5f72 656d 6f76 6564 0a0a 2d20 6e61  ot_removed..- na
│ │ │ +001ff730: 6d65 3a20 456e 7375 7265 2073 6574 726f  me: Ensure setro
│ │ │ +001ff740: 7562 6c65 7368 6f6f 7420 6973 2072 656d  ubleshoot is rem
│ │ │ +001ff750: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +001ff760: 2020 2020 6e61 6d65 3a20 7365 7472 6f75      name: setrou
│ │ │ +001ff770: 626c 6573 686f 6f74 0a20 2020 2073 7461  bleshoot.    sta
│ │ │ +001ff780: 7465 3a20 6162 7365 6e74 0a20 2077 6865  te: absent.  whe
│ │ │ +001ff790: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ +001ff7a0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +001ff7b0: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +001ff7c0: 6773 3a0a 2020 2d20 6469 7361 626c 655f  gs:.  - disable_
│ │ │ +001ff7d0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +001ff7e0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +001ff7f0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +001ff800: 202d 206c 6f77 5f73 6576 6572 6974 790a   - low_severity.
│ │ │ +001ff810: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001ff820: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +001ff830: 5f73 6574 726f 7562 6c65 7368 6f6f 745f  _setroubleshoot_
│ │ │ +001ff840: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +001ff850: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +001ff860: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +001ff870: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +001ff880: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +001ff890: 612d 7461 7267 6574 3d22 2369 646d 3138  a-target="#idm18
│ │ │ +001ff8a0: 3931 3222 2074 6162 696e 6465 783d 2230  912" tabindex="0
│ │ │ +001ff8b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +001ff8c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +001ff8d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +001ff8e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +001ff8f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +001ff900: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +001ff910: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +001ff920: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +001ff930: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +001ff940: 7365 2220 6964 3d22 6964 6d31 3839 3132  se" id="idm18912
│ │ │ +001ff950: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +001ff960: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +001ff970: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +001ff980: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +001ff990: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +001ff9a0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +001ff9b0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001ff9c0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +001ff9d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001ff9e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +001ff9f0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +001ffa00: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +001ffa10: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +001ffa20: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +001ffa30: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +001ffa40: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ +001ffa50: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ +001ffa60: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ +001ffa70: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ +001ffa80: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ +001ffa90: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ +001ffaa0: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ +001ffab0: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ +001ffac0: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ +001ffad0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ +001ffae0: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ +001ffaf0: 0a0a 2320 4341 5554 494f 4e3a 2054 6869  ..# CAUTION: Thi
│ │ │ +001ffb00: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +001ffb10: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +001ffb20: 2073 6574 726f 7562 6c65 7368 6f6f 740a   setroubleshoot.
│ │ │ +001ffb30: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +001ffb40: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +001ffb50: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +001ffb60: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +001ffb70: 6e64 206f 6e20 7365 7472 6f75 626c 6573  nd on setroubles
│ │ │ +001ffb80: 686f 6f74 2e20 4578 6563 7574 6520 7468  hoot. Execute th
│ │ │ +001ffb90: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ +001ffba0: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ +001ffbb0: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ +001ffbc0: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ +001ffbd0: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ +001ffbe0: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +001ffbf0: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ +001ffc00: 6520 2d79 2022 7365 7472 6f75 626c 6573  e -y "setroubles
│ │ │ +001ffc10: 686f 6f74 220a 0a65 6c73 650a 2020 2020  hoot"..else.    
│ │ │ +001ffc20: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ +001ffc30: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ +001ffc40: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ +001ffc50: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ +001ffc60: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +001ffc70: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +001ffc80: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +001ffc90: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +001ffca0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +001ffcb0: 6172 6765 743d 2223 6964 6d31 3839 3133  arget="#idm18913
│ │ │ +001ffcc0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +001ffcd0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +001ffce0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +001ffcf0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +001ffd00: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +001ffd10: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001ffd20: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +001ffd30: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001ffd40: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001ffd50: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001ffd60: 6522 2069 643d 2269 646d 3138 3931 3322  e" id="idm18913"
│ │ │ +001ffd70: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +001ffd80: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +001ffd90: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +001ffda0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +001ffdb0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +001ffdc0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +001ffdd0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001ffde0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +001ffdf0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001ffe00: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +001ffe10: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +001ffe20: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +001ffe30: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +001ffe40: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +001ffe50: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001ffe60: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +001ffe70: 6520 7265 6d6f 7665 5f73 6574 726f 7562  e remove_setroub
│ │ │ +001ffe80: 6c65 7368 6f6f 740a 0a63 6c61 7373 2072  leshoot..class r
│ │ │ +001ffe90: 656d 6f76 655f 7365 7472 6f75 626c 6573  emove_setroubles
│ │ │ +001ffea0: 686f 6f74 207b 0a20 2070 6163 6b61 6765  hoot {.  package
│ │ │ +001ffeb0: 207b 2027 7365 7472 6f75 626c 6573 686f   { 'setroublesho
│ │ │ +001ffec0: 6f74 273a 0a20 2020 2065 6e73 7572 6520  ot':.    ensure 
│ │ │ +001ffed0: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +001ffee0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  001ffef0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  001fff00: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  001fff10: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  001fff20: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  001fff30: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  001fff40: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  001fff50: 7275 6c65 5f64 6972 6563 746f 7279 5f67  rule_directory_g
│ │ │ @@ -133096,142 +133096,142 @@
│ │ │  00207e70: 2d74 6172 6765 743d 2223 6964 6d32 3030  -target="#idm200
│ │ │  00207e80: 3435 2220 7461 6269 6e64 6578 3d22 3022  45" tabindex="0"
│ │ │  00207e90: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00207ea0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00207eb0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00207ec0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00207ed0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00207ee0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00207ef0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00207f00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00207f10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00207f20: 7073 6522 2069 643d 2269 646d 3230 3034  pse" id="idm2004
│ │ │ -00207f30: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ -00207f40: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00207f50: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00207f60: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00207f70: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00207f80: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00207f90: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00207fa0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00207fb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00207fc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00207fd0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00207fe0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00207ff0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00208000: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00208010: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00208020: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00208030: 7564 6520 7265 6d6f 7665 5f64 6863 700a  ude remove_dhcp.
│ │ │ -00208040: 0a63 6c61 7373 2072 656d 6f76 655f 6468  .class remove_dh
│ │ │ -00208050: 6370 207b 0a20 2070 6163 6b61 6765 207b  cp {.  package {
│ │ │ -00208060: 2027 6468 6370 273a 0a20 2020 2065 6e73   'dhcp':.    ens
│ │ │ -00208070: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00208080: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00208090: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -002080a0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -002080b0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -002080c0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -002080d0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -002080e0: 3230 3034 3622 2074 6162 696e 6465 783d  20046" tabindex=
│ │ │ -002080f0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00208100: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00208110: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00208120: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00208130: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00208140: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00208150: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00208160: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00208170: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00208180: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00208190: 3230 3034 3622 3e3c 7461 626c 6520 636c  20046"><table cl
│ │ │ -002081a0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -002081b0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -002081c0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -002081d0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -002081e0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -002081f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00208200: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00208210: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00208220: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00208230: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00208240: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00208250: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00208260: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00208270: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00208280: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00208290: 2d20 6e61 6d65 3a20 456e 7375 7265 2064  - name: Ensure d
│ │ │ -002082a0: 6863 7020 6973 2072 656d 6f76 6564 0a20  hcp is removed. 
│ │ │ -002082b0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -002082c0: 6d65 3a20 6468 6370 0a20 2020 2073 7461  me: dhcp.    sta
│ │ │ -002082d0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -002082e0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -002082f0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00208300: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00208310: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00208320: 3533 2d43 4d2d 3728 6229 0a20 202d 2050  53-CM-7(b).  - P
│ │ │ -00208330: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00208340: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00208350: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00208360: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00208370: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00208380: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00208390: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -002083a0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -002083b0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -002083c0: 5f64 6863 705f 7265 6d6f 7665 640a 3c2f  _dhcp_removed.</
│ │ │ -002083d0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -002083e0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -002083f0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00208400: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00208410: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00208420: 2369 646d 3230 3034 3722 2074 6162 696e  #idm20047" tabin
│ │ │ -00208430: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00208440: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00208450: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00208460: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00208470: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00208480: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -00208490: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -002084a0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -002084b0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -002084c0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -002084d0: 6d32 3030 3437 223e 3c74 6162 6c65 2063  m20047"><table c
│ │ │ -002084e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -002084f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00208500: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00208510: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00208520: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00208530: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00208540: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00208550: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00208560: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00208570: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00208580: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00208590: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -002085a0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -002085b0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -002085c0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -002085d0: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -002085e0: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -002085f0: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -00208600: 2064 6863 700a 2309 2020 2066 726f 6d20   dhcp.#.   from 
│ │ │ -00208610: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -00208620: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -00208630: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -00208640: 7420 6465 7065 6e64 206f 6e20 6468 6370  t depend on dhcp
│ │ │ -00208650: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00208660: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00208670: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00208680: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00208690: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -002086a0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -002086b0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -002086c0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -002086d0: 2022 6468 6370 220a 3c2f 636f 6465 3e3c   "dhcp".</code><
│ │ │ +00207ee0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00207ef0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00207f00: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00207f10: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00207f20: 6170 7365 2220 6964 3d22 6964 6d32 3030  apse" id="idm200
│ │ │ +00207f30: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ +00207f40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00207f50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00207f60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00207f70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00207f80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00207f90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00207fa0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00207fb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00207fc0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00207fd0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00207fe0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00207ff0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00208000: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00208010: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00208020: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00208030: 616d 653a 2045 6e73 7572 6520 6468 6370  ame: Ensure dhcp
│ │ │ +00208040: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +00208050: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +00208060: 2064 6863 700a 2020 2020 7374 6174 653a   dhcp.    state:
│ │ │ +00208070: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +00208080: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00208090: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +002080a0: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ +002080b0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +002080c0: 434d 2d37 2862 290a 2020 2d20 5043 492d  CM-7(b).  - PCI-
│ │ │ +002080d0: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +002080e0: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +002080f0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +00208100: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +00208110: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00208120: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00208130: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00208140: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00208150: 640a 2020 2d20 7061 636b 6167 655f 6468  d.  - package_dh
│ │ │ +00208160: 6370 5f72 656d 6f76 6564 0a3c 2f63 6f64  cp_removed.</cod
│ │ │ +00208170: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00208180: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00208190: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +002081a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +002081b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +002081c0: 6d32 3030 3436 2220 7461 6269 6e64 6578  m20046" tabindex
│ │ │ +002081d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +002081e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +002081f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00208200: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00208210: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00208220: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +00208230: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +00208240: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00208250: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00208260: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +00208270: 3034 3622 3e3c 7461 626c 6520 636c 6173  046"><table clas
│ │ │ +00208280: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00208290: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +002082a0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +002082b0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +002082c0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +002082d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +002082e0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +002082f0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00208300: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00208310: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00208320: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00208330: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00208340: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00208350: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00208360: 6c65 3e3c 7072 653e 3c63 6f64 653e 0a23  le><pre><code>.#
│ │ │ +00208370: 2043 4155 5449 4f4e 3a20 5468 6973 2072   CAUTION: This r
│ │ │ +00208380: 656d 6564 6961 7469 6f6e 2073 6372 6970  emediation scrip
│ │ │ +00208390: 7420 7769 6c6c 2072 656d 6f76 6520 6468  t will remove dh
│ │ │ +002083a0: 6370 0a23 0920 2020 6672 6f6d 2074 6865  cp.#.   from the
│ │ │ +002083b0: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +002083c0: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +002083d0: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +002083e0: 6570 656e 6420 6f6e 2064 6863 702e 2045  epend on dhcp. E
│ │ │ +002083f0: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ +00208400: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ +00208410: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ +00208420: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ +00208430: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ +00208440: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +00208450: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +00208460: 6765 7420 7265 6d6f 7665 202d 7920 2264  get remove -y "d
│ │ │ +00208470: 6863 7022 0a3c 2f63 6f64 653e 3c2f 7072  hcp".</code></pr
│ │ │ +00208480: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00208490: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +002084a0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +002084b0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +002084c0: 6172 6765 743d 2223 6964 6d32 3030 3437  arget="#idm20047
│ │ │ +002084d0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +002084e0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +002084f0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00208500: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00208510: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00208520: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00208530: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00208540: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00208550: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00208560: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00208570: 6522 2069 643d 2269 646d 3230 3034 3722  e" id="idm20047"
│ │ │ +00208580: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00208590: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +002085a0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +002085b0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +002085c0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +002085d0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +002085e0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +002085f0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00208600: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00208610: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00208620: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00208630: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00208640: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00208650: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00208660: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00208670: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00208680: 6520 7265 6d6f 7665 5f64 6863 700a 0a63  e remove_dhcp..c
│ │ │ +00208690: 6c61 7373 2072 656d 6f76 655f 6468 6370  lass remove_dhcp
│ │ │ +002086a0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +002086b0: 6468 6370 273a 0a20 2020 2065 6e73 7572  dhcp':.    ensur
│ │ │ +002086c0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +002086d0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  002086e0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  002086f0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00208700: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00208710: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00208720: 2d69 643d 2278 6363 6466 5f6f 7267 2e73  -id="xccdf_org.s
│ │ │  00208730: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │  00208740: 745f 7275 6c65 5f70 6163 6b61 6765 5f6b  t_rule_package_k
│ │ │ @@ -133349,134 +133349,134 @@
│ │ │  00208e40: 7461 7267 6574 3d22 2369 646d 3230 3035  target="#idm2005
│ │ │  00208e50: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │  00208e60: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00208e70: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  00208e80: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  00208e90: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00208ea0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00208eb0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00208ec0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00208ed0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00208ee0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00208ef0: 7365 2220 6964 3d22 6964 6d32 3030 3537  se" id="idm20057
│ │ │ -00208f00: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00208f10: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00208f20: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00208f30: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00208f40: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00208f50: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00208f60: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00208f70: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00208f80: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00208f90: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00208fa0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00208fb0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00208fc0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00208fd0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00208fe0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00208ff0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -00209000: 6465 2072 656d 6f76 655f 6b65 610a 0a63  de remove_kea..c
│ │ │ -00209010: 6c61 7373 2072 656d 6f76 655f 6b65 6120  lass remove_kea 
│ │ │ -00209020: 7b0a 2020 7061 636b 6167 6520 7b20 276b  {.  package { 'k
│ │ │ -00209030: 6561 273a 0a20 2020 2065 6e73 7572 6520  ea':.    ensure 
│ │ │ -00209040: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -00209050: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00209060: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00209070: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00209080: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00209090: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -002090a0: 7461 7267 6574 3d22 2369 646d 3230 3035  target="#idm2005
│ │ │ -002090b0: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ -002090c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -002090d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -002090e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -002090f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00209100: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00209110: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00209120: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00209130: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00209140: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00209150: 7073 6522 2069 643d 2269 646d 3230 3035  pse" id="idm2005
│ │ │ -00209160: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ -00209170: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00209180: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00209190: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -002091a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -002091b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -002091c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -002091d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -002091e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -002091f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00209200: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00209210: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00209220: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00209230: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00209240: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00209250: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -00209260: 6d65 3a20 456e 7375 7265 206b 6561 2069  me: Ensure kea i
│ │ │ -00209270: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00209280: 6167 653a 0a20 2020 206e 616d 653a 206b  age:.    name: k
│ │ │ -00209290: 6561 0a20 2020 2073 7461 7465 3a20 6162  ea.    state: ab
│ │ │ -002092a0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -002092b0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -002092c0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -002092d0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -002092e0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -002092f0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00209300: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00209310: 0a20 202d 2070 6163 6b61 6765 5f6b 6561  .  - package_kea
│ │ │ -00209320: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -00209330: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00209340: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00209350: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00209360: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00209370: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00209380: 3030 3539 2220 7461 6269 6e64 6578 3d22  0059" tabindex="
│ │ │ -00209390: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -002093a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -002093b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -002093c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -002093d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -002093e0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -002093f0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00209400: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00209410: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00209420: 7073 6522 2069 643d 2269 646d 3230 3035  pse" id="idm2005
│ │ │ -00209430: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ -00209440: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00209450: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00209460: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00209470: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00209480: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00209490: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -002094a0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -002094b0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -002094c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -002094d0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -002094e0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -002094f0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00209500: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00209510: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00209520: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ -00209530: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ -00209540: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ -00209550: 7769 6c6c 2072 656d 6f76 6520 6b65 610a  will remove kea.
│ │ │ -00209560: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ -00209570: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ -00209580: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ -00209590: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ -002095a0: 6e64 206f 6e20 6b65 612e 2045 7865 6375  nd on kea. Execu
│ │ │ -002095b0: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ -002095c0: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ -002095d0: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ -002095e0: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ -002095f0: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ -00209600: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -00209610: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -00209620: 7265 6d6f 7665 202d 7920 226b 6561 220a  remove -y "kea".
│ │ │ +00208eb0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00208ec0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00208ed0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00208ee0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00208ef0: 7073 6522 2069 643d 2269 646d 3230 3035  pse" id="idm2005
│ │ │ +00208f00: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +00208f10: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00208f20: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00208f30: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00208f40: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00208f50: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00208f60: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00208f70: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00208f80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00208f90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00208fa0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00208fb0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00208fc0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00208fd0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00208fe0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00208ff0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00209000: 6d65 3a20 456e 7375 7265 206b 6561 2069  me: Ensure kea i
│ │ │ +00209010: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +00209020: 6167 653a 0a20 2020 206e 616d 653a 206b  age:.    name: k
│ │ │ +00209030: 6561 0a20 2020 2073 7461 7465 3a20 6162  ea.    state: ab
│ │ │ +00209040: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +00209050: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +00209060: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00209070: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00209080: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00209090: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +002090a0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +002090b0: 0a20 202d 2070 6163 6b61 6765 5f6b 6561  .  - package_kea
│ │ │ +002090c0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +002090d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +002090e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +002090f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00209100: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00209110: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +00209120: 3030 3538 2220 7461 6269 6e64 6578 3d22  0058" tabindex="
│ │ │ +00209130: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00209140: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00209150: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00209160: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00209170: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00209180: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +00209190: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +002091a0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +002091b0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +002091c0: 7073 6522 2069 643d 2269 646d 3230 3035  pse" id="idm2005
│ │ │ +002091d0: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +002091e0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +002091f0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00209200: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00209210: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00209220: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00209230: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00209240: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00209250: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00209260: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00209270: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00209280: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00209290: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +002092a0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +002092b0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +002092c0: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ +002092d0: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ +002092e0: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ +002092f0: 7769 6c6c 2072 656d 6f76 6520 6b65 610a  will remove kea.
│ │ │ +00209300: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +00209310: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +00209320: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +00209330: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +00209340: 6e64 206f 6e20 6b65 612e 2045 7865 6375  nd on kea. Execu
│ │ │ +00209350: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ +00209360: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ +00209370: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ +00209380: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ +00209390: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ +002093a0: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +002093b0: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +002093c0: 7265 6d6f 7665 202d 7920 226b 6561 220a  remove -y "kea".
│ │ │ +002093d0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +002093e0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +002093f0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00209400: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00209410: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00209420: 3d22 2369 646d 3230 3035 3922 2074 6162  ="#idm20059" tab
│ │ │ +00209430: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00209440: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00209450: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00209460: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00209470: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00209480: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00209490: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +002094a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +002094b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +002094c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +002094d0: 3d22 6964 6d32 3030 3539 223e 3c74 6162  ="idm20059"><tab
│ │ │ +002094e0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +002094f0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00209500: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00209510: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00209520: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00209530: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00209540: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00209550: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00209560: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00209570: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00209580: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00209590: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +002095a0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +002095b0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +002095c0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +002095d0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +002095e0: 6f76 655f 6b65 610a 0a63 6c61 7373 2072  ove_kea..class r
│ │ │ +002095f0: 656d 6f76 655f 6b65 6120 7b0a 2020 7061  emove_kea {.  pa
│ │ │ +00209600: 636b 6167 6520 7b20 276b 6561 273a 0a20  ckage { 'kea':. 
│ │ │ +00209610: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +00209620: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  00209630: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00209640: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00209650: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00209660: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00209670: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  00209680: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  00209690: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -134566,178 +134566,178 @@
│ │ │  0020da50: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0020da60: 6d32 3032 3136 2220 7461 6269 6e64 6578  m20216" tabindex
│ │ │  0020da70: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  0020da80: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  0020da90: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  0020daa0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  0020dab0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0020dac0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0020dad0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0020dae0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0020daf0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0020db00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0020db10: 3230 3231 3622 3e3c 7461 626c 6520 636c  20216"><table cl
│ │ │ -0020db20: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0020db30: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0020db40: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0020db50: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0020db60: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0020db70: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0020db80: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0020db90: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0020dba0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0020dbb0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0020dbc0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0020dbd0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0020dbe0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0020dbf0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0020dc00: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0020dc10: 696e 636c 7564 6520 7265 6d6f 7665 5f73  include remove_s
│ │ │ -0020dc20: 656e 646d 6169 6c0a 0a63 6c61 7373 2072  endmail..class r
│ │ │ -0020dc30: 656d 6f76 655f 7365 6e64 6d61 696c 207b  emove_sendmail {
│ │ │ -0020dc40: 0a20 2070 6163 6b61 6765 207b 2027 7365  .  package { 'se
│ │ │ -0020dc50: 6e64 6d61 696c 273a 0a20 2020 2065 6e73  ndmail':.    ens
│ │ │ -0020dc60: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -0020dc70: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -0020dc80: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0020dc90: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0020dca0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0020dcb0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0020dcc0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0020dcd0: 3230 3231 3722 2074 6162 696e 6465 783d  20217" tabindex=
│ │ │ -0020dce0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0020dcf0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0020dd00: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0020dd10: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0020dd20: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0020dd30: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -0020dd40: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0020dd50: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0020dd60: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0020dd70: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0020dd80: 3230 3231 3722 3e3c 7461 626c 6520 636c  20217"><table cl
│ │ │ -0020dd90: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0020dda0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0020ddb0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0020ddc0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0020ddd0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0020dde0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0020ddf0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0020de00: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0020de10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0020de20: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0020de30: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0020de40: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0020de50: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0020de60: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0020de70: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0020de80: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -0020de90: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -0020dea0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -0020deb0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -0020dec0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -0020ded0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -0020dee0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -0020def0: 2d35 332d 434d 2d37 2861 290a 2020 2d20  -53-CM-7(a).  - 
│ │ │ -0020df00: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -0020df10: 2862 290a 2020 2d20 6469 7361 626c 655f  (b).  - disable_
│ │ │ -0020df20: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -0020df30: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0020df40: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0020df50: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -0020df60: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0020df70: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0020df80: 6167 655f 7365 6e64 6d61 696c 5f72 656d  age_sendmail_rem
│ │ │ -0020df90: 6f76 6564 0a0a 2d20 6e61 6d65 3a20 456e  oved..- name: En
│ │ │ -0020dfa0: 7375 7265 2073 656e 646d 6169 6c20 6973  sure sendmail is
│ │ │ -0020dfb0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ -0020dfc0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7365  ge:.    name: se
│ │ │ -0020dfd0: 6e64 6d61 696c 0a20 2020 2073 7461 7465  ndmail.    state
│ │ │ -0020dfe0: 3a20 6162 7365 6e74 0a20 2077 6865 6e3a  : absent.  when:
│ │ │ -0020dff0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -0020e000: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -0020e010: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -0020e020: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0020e030: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0020e040: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -0020e050: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0020e060: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ -0020e070: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -0020e080: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0020e090: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0020e0a0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0020e0b0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0020e0c0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0020e0d0: 2d20 7061 636b 6167 655f 7365 6e64 6d61  - package_sendma
│ │ │ -0020e0e0: 696c 5f72 656d 6f76 6564 0a3c 2f63 6f64  il_removed.</cod
│ │ │ -0020e0f0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0020e100: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0020e110: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0020e120: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0020e130: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0020e140: 6d32 3032 3138 2220 7461 6269 6e64 6578  m20218" tabindex
│ │ │ -0020e150: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0020e160: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0020e170: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0020e180: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0020e190: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0020e1a0: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ -0020e1b0: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ -0020e1c0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0020e1d0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0020e1e0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ -0020e1f0: 3231 3822 3e3c 7461 626c 6520 636c 6173  218"><table clas
│ │ │ -0020e200: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0020e210: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0020e220: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0020e230: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0020e240: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0020e250: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0020e260: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0020e270: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0020e280: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0020e290: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0020e2a0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0020e2b0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0020e2c0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -0020e2d0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0020e2e0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ -0020e2f0: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ -0020e300: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ -0020e310: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ -0020e320: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ -0020e330: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ -0020e340: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ -0020e350: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ -0020e360: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ -0020e370: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ -0020e380: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ -0020e390: 6865 6e0a 0a23 2043 4155 5449 4f4e 3a20  hen..# CAUTION: 
│ │ │ -0020e3a0: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -0020e3b0: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -0020e3c0: 6f76 6520 7365 6e64 6d61 696c 0a23 0920  ove sendmail.#. 
│ │ │ -0020e3d0: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ -0020e3e0: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ -0020e3f0: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ -0020e400: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ -0020e410: 6f6e 2073 656e 646d 6169 6c2e 2045 7865  on sendmail. Exe
│ │ │ -0020e420: 6375 7465 2074 6869 730a 2309 2020 2072  cute this.#.   r
│ │ │ -0020e430: 656d 6564 6961 7469 6f6e 2041 4654 4552  emediation AFTER
│ │ │ -0020e440: 2074 6573 7469 6e67 206f 6e20 6120 6e6f   testing on a no
│ │ │ -0020e450: 6e2d 7072 6f64 7563 7469 6f6e 0a23 0920  n-production.#. 
│ │ │ -0020e460: 2020 7379 7374 656d 210a 0a44 4542 4941    system!..DEBIA
│ │ │ -0020e470: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -0020e480: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -0020e490: 7420 7265 6d6f 7665 202d 7920 2273 656e  t remove -y "sen
│ │ │ -0020e4a0: 646d 6169 6c22 0a0a 656c 7365 0a20 2020  dmail"..else.   
│ │ │ -0020e4b0: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ -0020e4c0: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ -0020e4d0: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ -0020e4e0: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ -0020e4f0: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +0020dac0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +0020dad0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +0020dae0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0020daf0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0020db00: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0020db10: 6d32 3032 3136 223e 3c74 6162 6c65 2063  m20216"><table c
│ │ │ +0020db20: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0020db30: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0020db40: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0020db50: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0020db60: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0020db70: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0020db80: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0020db90: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0020dba0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0020dbb0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0020dbc0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0020dbd0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0020dbe0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0020dbf0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0020dc00: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0020dc10: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +0020dc20: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +0020dc30: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +0020dc40: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +0020dc50: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +0020dc60: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0020dc70: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +0020dc80: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ +0020dc90: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0020dca0: 3728 6229 0a20 202d 2064 6973 6162 6c65  7(b).  - disable
│ │ │ +0020dcb0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0020dcc0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0020dcd0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0020dce0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0020dcf0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0020dd00: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +0020dd10: 6b61 6765 5f73 656e 646d 6169 6c5f 7265  kage_sendmail_re
│ │ │ +0020dd20: 6d6f 7665 640a 0a2d 206e 616d 653a 2045  moved..- name: E
│ │ │ +0020dd30: 6e73 7572 6520 7365 6e64 6d61 696c 2069  nsure sendmail i
│ │ │ +0020dd40: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +0020dd50: 6167 653a 0a20 2020 206e 616d 653a 2073  age:.    name: s
│ │ │ +0020dd60: 656e 646d 6169 6c0a 2020 2020 7374 6174  endmail.    stat
│ │ │ +0020dd70: 653a 2061 6273 656e 740a 2020 7768 656e  e: absent.  when
│ │ │ +0020dd80: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +0020dd90: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +0020dda0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +0020ddb0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0020ddc0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +0020ddd0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +0020dde0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +0020ddf0: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +0020de00: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0020de10: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0020de20: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0020de30: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +0020de40: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +0020de50: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0020de60: 202d 2070 6163 6b61 6765 5f73 656e 646d   - package_sendm
│ │ │ +0020de70: 6169 6c5f 7265 6d6f 7665 640a 3c2f 636f  ail_removed.</co
│ │ │ +0020de80: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0020de90: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0020dea0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0020deb0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0020dec0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0020ded0: 646d 3230 3231 3722 2074 6162 696e 6465  dm20217" tabinde
│ │ │ +0020dee0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0020def0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0020df00: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0020df10: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0020df20: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0020df30: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ +0020df40: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ +0020df50: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0020df60: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0020df70: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0020df80: 3032 3137 223e 3c74 6162 6c65 2063 6c61  0217"><table cla
│ │ │ +0020df90: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0020dfa0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0020dfb0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0020dfc0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0020dfd0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0020dfe0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0020dff0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0020e000: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0020e010: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0020e020: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0020e030: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0020e040: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0020e050: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0020e060: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0020e070: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ +0020e080: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ +0020e090: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ +0020e0a0: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ +0020e0b0: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565  orms.if dpkg-que
│ │ │ +0020e0c0: 7279 202d 2d73 686f 7720 2d2d 7368 6f77  ry --show --show
│ │ │ +0020e0d0: 666f 726d 6174 3d27 247b 6462 3a53 7461  format='${db:Sta
│ │ │ +0020e0e0: 7475 732d 5374 6174 7573 7d0a 2720 276c  tus-Status}.' 'l
│ │ │ +0020e0f0: 696e 7578 2d62 6173 6527 2032 2667 743b  inux-base' 2&gt;
│ │ │ +0020e100: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570  /dev/null | grep
│ │ │ +0020e110: 202d 7120 5e69 6e73 7461 6c6c 6564 3b20   -q ^installed; 
│ │ │ +0020e120: 7468 656e 0a0a 2320 4341 5554 494f 4e3a  then..# CAUTION:
│ │ │ +0020e130: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ +0020e140: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ +0020e150: 6d6f 7665 2073 656e 646d 6169 6c0a 2309  move sendmail.#.
│ │ │ +0020e160: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ +0020e170: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ +0020e180: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ +0020e190: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ +0020e1a0: 206f 6e20 7365 6e64 6d61 696c 2e20 4578   on sendmail. Ex
│ │ │ +0020e1b0: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ +0020e1c0: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ +0020e1d0: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ +0020e1e0: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ +0020e1f0: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ +0020e200: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +0020e210: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +0020e220: 6574 2072 656d 6f76 6520 2d79 2022 7365  et remove -y "se
│ │ │ +0020e230: 6e64 6d61 696c 220a 0a65 6c73 650a 2020  ndmail"..else.  
│ │ │ +0020e240: 2020 2667 743b 2661 6d70 3b32 2065 6368    &gt;&amp;2 ech
│ │ │ +0020e250: 6f20 2752 656d 6564 6961 7469 6f6e 2069  o 'Remediation i
│ │ │ +0020e260: 7320 6e6f 7420 6170 706c 6963 6162 6c65  s not applicable
│ │ │ +0020e270: 2c20 6e6f 7468 696e 6720 7761 7320 646f  , nothing was do
│ │ │ +0020e280: 6e65 270a 6669 0a3c 2f63 6f64 653e 3c2f  ne'.fi.</code></
│ │ │ +0020e290: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0020e2a0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0020e2b0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0020e2c0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0020e2d0: 2d74 6172 6765 743d 2223 6964 6d32 3032  -target="#idm202
│ │ │ +0020e2e0: 3138 2220 7461 6269 6e64 6578 3d22 3022  18" tabindex="0"
│ │ │ +0020e2f0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0020e300: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0020e310: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0020e320: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0020e330: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0020e340: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +0020e350: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0020e360: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0020e370: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0020e380: 7073 6522 2069 643d 2269 646d 3230 3231  pse" id="idm2021
│ │ │ +0020e390: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +0020e3a0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0020e3b0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0020e3c0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0020e3d0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0020e3e0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0020e3f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0020e400: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0020e410: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0020e420: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0020e430: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0020e440: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0020e450: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0020e460: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0020e470: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0020e480: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +0020e490: 7564 6520 7265 6d6f 7665 5f73 656e 646d  ude remove_sendm
│ │ │ +0020e4a0: 6169 6c0a 0a63 6c61 7373 2072 656d 6f76  ail..class remov
│ │ │ +0020e4b0: 655f 7365 6e64 6d61 696c 207b 0a20 2070  e_sendmail {.  p
│ │ │ +0020e4c0: 6163 6b61 6765 207b 2027 7365 6e64 6d61  ackage { 'sendma
│ │ │ +0020e4d0: 696c 273a 0a20 2020 2065 6e73 7572 6520  il':.    ensure 
│ │ │ +0020e4e0: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +0020e4f0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0020e500: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0020e510: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0020e520: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0020e530: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0020e540: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  0020e550: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0020e560: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f6e  .content_group_n
│ │ │ @@ -135179,183 +135179,183 @@
│ │ │  002100a0: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │  002100b0: 3437 3522 2074 6162 696e 6465 783d 2230  475" tabindex="0
│ │ │  002100c0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  002100d0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  002100e0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  002100f0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00210100: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00210110: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00210120: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00210130: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00210140: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00210150: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00210160: 2069 643d 2269 646d 3230 3437 3522 3e3c   id="idm20475"><
│ │ │ -00210170: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00210180: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -00210190: 6368 726f 6e79 220a 7665 7273 696f 6e20  chrony".version 
│ │ │ -002101a0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ -002101b0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -002101c0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -002101d0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -002101e0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -002101f0: 7461 7267 6574 3d22 2369 646d 3230 3437  target="#idm2047
│ │ │ -00210200: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ -00210210: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00210220: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00210230: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00210240: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00210250: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00210260: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00210270: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00210280: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00210290: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -002102a0: 7365 2220 6964 3d22 6964 6d32 3034 3736  se" id="idm20476
│ │ │ -002102b0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -002102c0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -002102d0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -002102e0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -002102f0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00210300: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00210310: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00210320: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00210330: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00210340: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00210350: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00210360: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00210370: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00210380: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00210390: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -002103a0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -002103b0: 6520 696e 7374 616c 6c5f 6368 726f 6e79  e install_chrony
│ │ │ -002103c0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -002103d0: 6368 726f 6e79 207b 0a20 2070 6163 6b61  chrony {.  packa
│ │ │ -002103e0: 6765 207b 2027 6368 726f 6e79 273a 0a20  ge { 'chrony':. 
│ │ │ -002103f0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00210400: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ -00210410: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -00210420: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00210430: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00210440: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00210450: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00210460: 6765 743d 2223 6964 6d32 3034 3737 2220  get="#idm20477" 
│ │ │ -00210470: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00210480: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00210490: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -002104a0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -002104b0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -002104c0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -002104d0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -002104e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -002104f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00210500: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00210510: 2220 6964 3d22 6964 6d32 3034 3737 223e  " id="idm20477">
│ │ │ -00210520: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00210530: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00210540: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00210550: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00210560: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00210570: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00210580: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00210590: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -002105a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -002105b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -002105c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -002105d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -002105e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -002105f0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00210600: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00210610: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00210620: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00210630: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00210640: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00210650: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -00210660: 6773 3a0a 2020 2d20 5043 492d 4453 532d  gs:.  - PCI-DSS-
│ │ │ -00210670: 5265 712d 3130 2e34 0a20 202d 2050 4349  Req-10.4.  - PCI
│ │ │ -00210680: 2d44 5353 7634 2d31 302e 360a 2020 2d20  -DSSv4-10.6.  - 
│ │ │ -00210690: 5043 492d 4453 5376 342d 3130 2e36 2e31  PCI-DSSv4-10.6.1
│ │ │ -002106a0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -002106b0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -002106c0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -002106d0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -002106e0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -002106f0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00210700: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00210710: 6368 726f 6e79 5f69 6e73 7461 6c6c 6564  chrony_installed
│ │ │ -00210720: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -00210730: 2063 6872 6f6e 7920 6973 2069 6e73 7461   chrony is insta
│ │ │ -00210740: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ -00210750: 2020 2020 6e61 6d65 3a20 6368 726f 6e79      name: chrony
│ │ │ -00210760: 0a20 2020 2073 7461 7465 3a20 7072 6573  .    state: pres
│ │ │ -00210770: 656e 740a 2020 7768 656e 3a20 2722 6c69  ent.  when: '"li
│ │ │ -00210780: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -00210790: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -002107a0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -002107b0: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -002107c0: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ -002107d0: 3130 2e36 0a20 202d 2050 4349 2d44 5353  10.6.  - PCI-DSS
│ │ │ -002107e0: 7634 2d31 302e 362e 310a 2020 2d20 656e  v4-10.6.1.  - en
│ │ │ -002107f0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00210800: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00210810: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00210820: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00210830: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00210840: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00210850: 2070 6163 6b61 6765 5f63 6872 6f6e 795f   package_chrony_
│ │ │ -00210860: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ -00210870: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00210880: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00210890: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -002108a0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -002108b0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -002108c0: 3230 3437 3822 2074 6162 696e 6465 783d  20478" tabindex=
│ │ │ -002108d0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -002108e0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -002108f0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00210900: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00210910: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00210920: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -00210930: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -00210940: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00210950: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00210960: 6170 7365 2220 6964 3d22 6964 6d32 3034  apse" id="idm204
│ │ │ -00210970: 3738 223e 3c74 6162 6c65 2063 6c61 7373  78"><table class
│ │ │ -00210980: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00210990: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -002109a0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -002109b0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -002109c0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -002109d0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -002109e0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -002109f0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00210a00: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00210a10: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00210a20: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00210a30: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00210a40: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -00210a50: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00210a60: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ -00210a70: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ -00210a80: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ -00210a90: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ -00210aa0: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ -00210ab0: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ -00210ac0: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ -00210ad0: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ -00210ae0: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ -00210af0: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ -00210b00: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ -00210b10: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ -00210b20: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -00210b30: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ -00210b40: 6c20 2d79 2022 6368 726f 6e79 220a 0a65  l -y "chrony"..e
│ │ │ -00210b50: 6c73 650a 2020 2020 2667 743b 2661 6d70  lse.    &gt;&amp
│ │ │ -00210b60: 3b32 2065 6368 6f20 2752 656d 6564 6961  ;2 echo 'Remedia
│ │ │ -00210b70: 7469 6f6e 2069 7320 6e6f 7420 6170 706c  tion is not appl
│ │ │ -00210b80: 6963 6162 6c65 2c20 6e6f 7468 696e 6720  icable, nothing 
│ │ │ -00210b90: 7761 7320 646f 6e65 270a 6669 0a3c 2f63  was done'.fi.</c
│ │ │ +00210110: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00210120: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00210130: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00210140: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00210150: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +00210160: 3437 3522 3e3c 7461 626c 6520 636c 6173  475"><table clas
│ │ │ +00210170: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00210180: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00210190: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +002101a0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +002101b0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +002101c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +002101d0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +002101e0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +002101f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00210200: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00210210: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00210220: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00210230: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00210240: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00210250: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00210260: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00210270: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00210280: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00210290: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +002102a0: 0a20 2074 6167 733a 0a20 202d 2050 4349  .  tags:.  - PCI
│ │ │ +002102b0: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ +002102c0: 2d20 5043 492d 4453 5376 342d 3130 2e36  - PCI-DSSv4-10.6
│ │ │ +002102d0: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +002102e0: 302e 362e 310a 2020 2d20 656e 6162 6c65  0.6.1.  - enable
│ │ │ +002102f0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +00210300: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00210310: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00210320: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +00210330: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +00210340: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00210350: 6b61 6765 5f63 6872 6f6e 795f 696e 7374  kage_chrony_inst
│ │ │ +00210360: 616c 6c65 640a 0a2d 206e 616d 653a 2045  alled..- name: E
│ │ │ +00210370: 6e73 7572 6520 6368 726f 6e79 2069 7320  nsure chrony is 
│ │ │ +00210380: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +00210390: 6167 653a 0a20 2020 206e 616d 653a 2063  age:.    name: c
│ │ │ +002103a0: 6872 6f6e 790a 2020 2020 7374 6174 653a  hrony.    state:
│ │ │ +002103b0: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ +002103c0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +002103d0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +002103e0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +002103f0: 3a0a 2020 2d20 5043 492d 4453 532d 5265  :.  - PCI-DSS-Re
│ │ │ +00210400: 712d 3130 2e34 0a20 202d 2050 4349 2d44  q-10.4.  - PCI-D
│ │ │ +00210410: 5353 7634 2d31 302e 360a 2020 2d20 5043  SSv4-10.6.  - PC
│ │ │ +00210420: 492d 4453 5376 342d 3130 2e36 2e31 0a20  I-DSSv4-10.6.1. 
│ │ │ +00210430: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +00210440: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +00210450: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00210460: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00210470: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00210480: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00210490: 640a 2020 2d20 7061 636b 6167 655f 6368  d.  - package_ch
│ │ │ +002104a0: 726f 6e79 5f69 6e73 7461 6c6c 6564 0a3c  rony_installed.<
│ │ │ +002104b0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +002104c0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +002104d0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +002104e0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +002104f0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00210500: 2223 6964 6d32 3034 3736 2220 7461 6269  "#idm20476" tabi
│ │ │ +00210510: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00210520: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00210530: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00210540: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00210550: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00210560: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +00210570: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +00210580: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00210590: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +002105a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +002105b0: 646d 3230 3437 3622 3e3c 7461 626c 6520  dm20476"><table 
│ │ │ +002105c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +002105d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +002105e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +002105f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00210600: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00210610: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00210620: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00210630: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00210640: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00210650: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00210660: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00210670: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00210680: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00210690: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +002106a0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +002106b0: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ +002106c0: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ +002106d0: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ +002106e0: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ +002106f0: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ +00210700: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ +00210710: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ +00210720: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ +00210730: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ +00210740: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ +00210750: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ +00210760: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +00210770: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ +00210780: 6e73 7461 6c6c 202d 7920 2263 6872 6f6e  nstall -y "chron
│ │ │ +00210790: 7922 0a0a 656c 7365 0a20 2020 2026 6774  y"..else.    &gt
│ │ │ +002107a0: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ +002107b0: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ +002107c0: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ +002107d0: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ +002107e0: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +002107f0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00210800: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00210810: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00210820: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00210830: 6574 3d22 2369 646d 3230 3437 3722 2074  et="#idm20477" t
│ │ │ +00210840: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00210850: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00210860: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00210870: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00210880: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00210890: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +002108a0: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +002108b0: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +002108c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +002108d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +002108e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +002108f0: 646d 3230 3437 3722 3e3c 7072 653e 3c63  dm20477"><pre><c
│ │ │ +00210900: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ +00210910: 5d0a 6e61 6d65 203d 2022 6368 726f 6e79  ].name = "chrony
│ │ │ +00210920: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ +00210930: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00210940: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00210950: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00210960: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00210970: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00210980: 3d22 2369 646d 3230 3437 3822 2074 6162  ="#idm20478" tab
│ │ │ +00210990: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +002109a0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +002109b0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +002109c0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +002109d0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +002109e0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +002109f0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00210a00: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00210a10: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00210a20: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00210a30: 3d22 6964 6d32 3034 3738 223e 3c74 6162  ="idm20478"><tab
│ │ │ +00210a40: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00210a50: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00210a60: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00210a70: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00210a80: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00210a90: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00210aa0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00210ab0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00210ac0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00210ad0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00210ae0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00210af0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00210b00: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00210b10: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00210b20: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00210b30: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ +00210b40: 616c 6c5f 6368 726f 6e79 0a0a 636c 6173  all_chrony..clas
│ │ │ +00210b50: 7320 696e 7374 616c 6c5f 6368 726f 6e79  s install_chrony
│ │ │ +00210b60: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00210b70: 6368 726f 6e79 273a 0a20 2020 2065 6e73  chrony':.    ens
│ │ │ +00210b80: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +00210b90: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │  00210ba0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00210bb0: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  00210bc0: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  00210bd0: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  00210be0: 7461 2d74 742d 6964 3d22 7863 6364 665f  ta-tt-id="xccdf_
│ │ │  00210bf0: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  00210c00: 6f6e 7465 6e74 5f72 756c 655f 7365 7276  ontent_rule_serv
│ │ │ @@ -137320,181 +137320,181 @@
│ │ │  00218670: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00218680: 646d 3230 3837 3622 2074 6162 696e 6465  dm20876" tabinde
│ │ │  00218690: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  002186a0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  002186b0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  002186c0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  002186d0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -002186e0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -002186f0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00218700: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00218710: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00218720: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00218730: 6d32 3038 3736 223e 3c74 6162 6c65 2063  m20876"><table c
│ │ │ -00218740: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00218750: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00218760: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00218770: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00218780: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00218790: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -002187a0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -002187b0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -002187c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -002187d0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -002187e0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -002187f0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00218800: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00218810: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00218820: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00218830: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -00218840: 7869 6e65 7464 0a0a 636c 6173 7320 7265  xinetd..class re
│ │ │ -00218850: 6d6f 7665 5f78 696e 6574 6420 7b0a 2020  move_xinetd {.  
│ │ │ -00218860: 7061 636b 6167 6520 7b20 2778 696e 6574  package { 'xinet
│ │ │ -00218870: 6427 3a0a 2020 2020 656e 7375 7265 203d  d':.    ensure =
│ │ │ -00218880: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00218890: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -002188a0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -002188b0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -002188c0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -002188d0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -002188e0: 6172 6765 743d 2223 6964 6d32 3038 3737  arget="#idm20877
│ │ │ -002188f0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00218900: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00218910: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00218920: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00218930: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00218940: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00218950: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00218960: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00218970: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00218980: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00218990: 7365 2220 6964 3d22 6964 6d32 3038 3737  se" id="idm20877
│ │ │ -002189a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -002189b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -002189c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -002189d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -002189e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -002189f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00218a00: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00218a10: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00218a20: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00218a30: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00218a40: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00218a50: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00218a60: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00218a70: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00218a80: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00218a90: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00218aa0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -00218ab0: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -00218ac0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00218ad0: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -00218ae0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00218af0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00218b00: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00218b10: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ -00218b20: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ -00218b30: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -00218b40: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -00218b50: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -00218b60: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00218b70: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00218b80: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00218b90: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ -00218ba0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00218bb0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -00218bc0: 655f 7869 6e65 7464 5f72 656d 6f76 6564  e_xinetd_removed
│ │ │ -00218bd0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -00218be0: 2078 696e 6574 6420 6973 2072 656d 6f76   xinetd is remov
│ │ │ -00218bf0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00218c00: 2020 6e61 6d65 3a20 7869 6e65 7464 0a20    name: xinetd. 
│ │ │ -00218c10: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ -00218c20: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00218c30: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00218c40: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00218c50: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00218c60: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00218c70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00218c80: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ -00218c90: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ -00218ca0: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ -00218cb0: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -00218cc0: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ -00218cd0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00218ce0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00218cf0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00218d00: 6f6e 0a20 202d 206c 6f77 5f73 6576 6572  on.  - low_sever
│ │ │ -00218d10: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00218d20: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00218d30: 6b61 6765 5f78 696e 6574 645f 7265 6d6f  kage_xinetd_remo
│ │ │ -00218d40: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ -00218d50: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00218d60: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00218d70: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00218d80: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00218d90: 7267 6574 3d22 2369 646d 3230 3837 3822  rget="#idm20878"
│ │ │ -00218da0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00218db0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00218dc0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00218dd0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00218de0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00218df0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00218e00: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ -00218e10: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00218e20: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00218e30: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00218e40: 6964 3d22 6964 6d32 3038 3738 223e 3c74  id="idm20878"><t
│ │ │ -00218e50: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00218e60: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00218e70: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00218e80: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00218e90: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00218ea0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00218eb0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00218ec0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00218ed0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00218ee0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00218ef0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00218f00: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00218f10: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00218f20: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00218f30: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00218f40: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ -00218f50: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ -00218f60: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ -00218f70: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ -00218f80: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ -00218f90: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ -00218fa0: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ -00218fb0: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ -00218fc0: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ -00218fd0: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ -00218fe0: 7461 6c6c 6564 3b20 7468 656e 0a0a 2320  talled; then..# 
│ │ │ -00218ff0: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ -00219000: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ -00219010: 2077 696c 6c20 7265 6d6f 7665 2078 696e   will remove xin
│ │ │ -00219020: 6574 640a 2309 2020 2066 726f 6d20 7468  etd.#.   from th
│ │ │ -00219030: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ -00219040: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ -00219050: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ -00219060: 6465 7065 6e64 206f 6e20 7869 6e65 7464  depend on xinetd
│ │ │ -00219070: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00219080: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00219090: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -002190a0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -002190b0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -002190c0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -002190d0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -002190e0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -002190f0: 2022 7869 6e65 7464 220a 0a65 6c73 650a   "xinetd"..else.
│ │ │ -00219100: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -00219110: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -00219120: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -00219130: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -00219140: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +002186e0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +002186f0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00218700: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00218710: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00218720: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00218730: 646d 3230 3837 3622 3e3c 7461 626c 6520  dm20876"><table 
│ │ │ +00218740: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00218750: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00218760: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00218770: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00218780: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00218790: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +002187a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +002187b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +002187c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +002187d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +002187e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +002187f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00218800: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00218810: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00218820: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00218830: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +00218840: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00218850: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +00218860: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +00218870: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00218880: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00218890: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ +002188a0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ +002188b0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +002188c0: 2d37 2862 290a 2020 2d20 5043 492d 4453  -7(b).  - PCI-DS
│ │ │ +002188d0: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +002188e0: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ +002188f0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00218900: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00218910: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00218920: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ +00218930: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00218940: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00218950: 2070 6163 6b61 6765 5f78 696e 6574 645f   package_xinetd_
│ │ │ +00218960: 7265 6d6f 7665 640a 0a2d 206e 616d 653a  removed..- name:
│ │ │ +00218970: 2045 6e73 7572 6520 7869 6e65 7464 2069   Ensure xinetd i
│ │ │ +00218980: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +00218990: 6167 653a 0a20 2020 206e 616d 653a 2078  age:.    name: x
│ │ │ +002189a0: 696e 6574 640a 2020 2020 7374 6174 653a  inetd.    state:
│ │ │ +002189b0: 2061 6273 656e 740a 2020 7768 656e 3a20   absent.  when: 
│ │ │ +002189c0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +002189d0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +002189e0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +002189f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00218a00: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ +00218a10: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ +00218a20: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00218a30: 2d43 4d2d 3728 6229 0a20 202d 2050 4349  -CM-7(b).  - PCI
│ │ │ +00218a40: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +00218a50: 4349 2d44 5353 7634 2d32 2e32 2e34 0a20  CI-DSSv4-2.2.4. 
│ │ │ +00218a60: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +00218a70: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00218a80: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00218a90: 6973 7275 7074 696f 6e0a 2020 2d20 6c6f  isruption.  - lo
│ │ │ +00218aa0: 775f 7365 7665 7269 7479 0a20 202d 206e  w_severity.  - n
│ │ │ +00218ab0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00218ac0: 2020 2d20 7061 636b 6167 655f 7869 6e65    - package_xine
│ │ │ +00218ad0: 7464 5f72 656d 6f76 6564 0a3c 2f63 6f64  td_removed.</cod
│ │ │ +00218ae0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00218af0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00218b00: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00218b10: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00218b20: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00218b30: 6d32 3038 3737 2220 7461 6269 6e64 6578  m20877" tabindex
│ │ │ +00218b40: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00218b50: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00218b60: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00218b70: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00218b80: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00218b90: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +00218ba0: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +00218bb0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00218bc0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00218bd0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +00218be0: 3837 3722 3e3c 7461 626c 6520 636c 6173  877"><table clas
│ │ │ +00218bf0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00218c00: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00218c10: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00218c20: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00218c30: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00218c40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00218c50: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00218c60: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00218c70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00218c80: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00218c90: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00218ca0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00218cb0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00218cc0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00218cd0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ +00218ce0: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ +00218cf0: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ +00218d00: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ +00218d10: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ +00218d20: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ +00218d30: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ +00218d40: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ +00218d50: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ +00218d60: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ +00218d70: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ +00218d80: 6865 6e0a 0a23 2043 4155 5449 4f4e 3a20  hen..# CAUTION: 
│ │ │ +00218d90: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ +00218da0: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ +00218db0: 6f76 6520 7869 6e65 7464 0a23 0920 2020  ove xinetd.#.   
│ │ │ +00218dc0: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ +00218dd0: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ +00218de0: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ +00218df0: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ +00218e00: 2078 696e 6574 642e 2045 7865 6375 7465   xinetd. Execute
│ │ │ +00218e10: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ +00218e20: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ +00218e30: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ +00218e40: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ +00218e50: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ +00218e60: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +00218e70: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ +00218e80: 6d6f 7665 202d 7920 2278 696e 6574 6422  move -y "xinetd"
│ │ │ +00218e90: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ +00218ea0: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ +00218eb0: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ +00218ec0: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ +00218ed0: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +00218ee0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00218ef0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00218f00: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00218f10: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00218f20: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00218f30: 3d22 2369 646d 3230 3837 3822 2074 6162  ="#idm20878" tab
│ │ │ +00218f40: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00218f50: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00218f60: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00218f70: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00218f80: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00218f90: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00218fa0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00218fb0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00218fc0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00218fd0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00218fe0: 3d22 6964 6d32 3038 3738 223e 3c74 6162  ="idm20878"><tab
│ │ │ +00218ff0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00219000: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00219010: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00219020: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00219030: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00219040: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00219050: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00219060: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00219070: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00219080: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00219090: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +002190a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +002190b0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +002190c0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +002190d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +002190e0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +002190f0: 6f76 655f 7869 6e65 7464 0a0a 636c 6173  ove_xinetd..clas
│ │ │ +00219100: 7320 7265 6d6f 7665 5f78 696e 6574 6420  s remove_xinetd 
│ │ │ +00219110: 7b0a 2020 7061 636b 6167 6520 7b20 2778  {.  package { 'x
│ │ │ +00219120: 696e 6574 6427 3a0a 2020 2020 656e 7375  inetd':.    ensu
│ │ │ +00219130: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +00219140: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00219150: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00219160: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00219170: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00219180: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00219190: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  002191a0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  002191b0: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -137727,140 +137727,140 @@
│ │ │  00219fe0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00219ff0: 646d 3230 3930 3022 2074 6162 696e 6465  dm20900" tabinde
│ │ │  0021a000: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0021a010: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0021a020: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0021a030: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0021a040: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0021a050: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0021a060: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0021a070: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0021a080: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0021a090: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0021a0a0: 6d32 3039 3030 223e 3c74 6162 6c65 2063  m20900"><table c
│ │ │ -0021a0b0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0021a0c0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0021a0d0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0021a0e0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0021a0f0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0021a100: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0021a110: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0021a120: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0021a130: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0021a140: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0021a150: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0021a160: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0021a170: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0021a180: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0021a190: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0021a1a0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -0021a1b0: 7970 6269 6e64 2d6d 740a 0a63 6c61 7373  ypbind-mt..class
│ │ │ -0021a1c0: 2072 656d 6f76 655f 7970 6269 6e64 2d6d   remove_ypbind-m
│ │ │ -0021a1d0: 7420 7b0a 2020 7061 636b 6167 6520 7b20  t {.  package { 
│ │ │ -0021a1e0: 2779 7062 696e 642d 6d74 273a 0a20 2020  'ypbind-mt':.   
│ │ │ -0021a1f0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -0021a200: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -0021a210: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0021a220: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0021a230: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0021a240: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0021a250: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0021a260: 2369 646d 3230 3930 3122 2074 6162 696e  #idm20901" tabin
│ │ │ -0021a270: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0021a280: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0021a290: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0021a2a0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0021a2b0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0021a2c0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -0021a2d0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -0021a2e0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0021a2f0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0021a300: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0021a310: 2269 646d 3230 3930 3122 3e3c 7461 626c  "idm20901"><tabl
│ │ │ -0021a320: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0021a330: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0021a340: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0021a350: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0021a360: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0021a370: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0021a380: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0021a390: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0021a3a0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0021a3b0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0021a3c0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0021a3d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0021a3e0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0021a3f0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -0021a400: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0021a410: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -0021a420: 7265 2079 7062 696e 642d 6d74 2069 7320  re ypbind-mt is 
│ │ │ -0021a430: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -0021a440: 653a 0a20 2020 206e 616d 653a 2079 7062  e:.    name: ypb
│ │ │ -0021a450: 696e 642d 6d74 0a20 2020 2073 7461 7465  ind-mt.    state
│ │ │ -0021a460: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ -0021a470: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0021a480: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0021a490: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ -0021a4a0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -0021a4b0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0021a4c0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0021a4d0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -0021a4e0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0021a4f0: 6765 5f79 7062 696e 645f 7265 6d6f 7665  ge_ypbind_remove
│ │ │ -0021a500: 640a 2020 2d20 756e 6b6e 6f77 6e5f 7365  d.  - unknown_se
│ │ │ -0021a510: 7665 7269 7479 0a3c 2f63 6f64 653e 3c2f  verity.</code></
│ │ │ -0021a520: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -0021a530: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -0021a540: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -0021a550: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -0021a560: 2d74 6172 6765 743d 2223 6964 6d32 3039  -target="#idm209
│ │ │ -0021a570: 3032 2220 7461 6269 6e64 6578 3d22 3022  02" tabindex="0"
│ │ │ -0021a580: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -0021a590: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -0021a5a0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -0021a5b0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -0021a5c0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0021a5d0: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -0021a5e0: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -0021a5f0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0021a600: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0021a610: 6522 2069 643d 2269 646d 3230 3930 3222  e" id="idm20902"
│ │ │ -0021a620: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0021a630: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0021a640: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0021a650: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0021a660: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0021a670: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0021a680: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0021a690: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0021a6a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0021a6b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0021a6c0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0021a6d0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0021a6e0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0021a6f0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0021a700: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0021a710: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -0021a720: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -0021a730: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -0021a740: 6c6c 2072 656d 6f76 6520 7970 6269 6e64  ll remove ypbind
│ │ │ -0021a750: 2d6d 740a 2309 2020 2066 726f 6d20 7468  -mt.#.   from th
│ │ │ -0021a760: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ -0021a770: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ -0021a780: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ -0021a790: 6465 7065 6e64 206f 6e20 7970 6269 6e64  depend on ypbind
│ │ │ -0021a7a0: 2d6d 742e 2045 7865 6375 7465 2074 6869  -mt. Execute thi
│ │ │ -0021a7b0: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ -0021a7c0: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ -0021a7d0: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ -0021a7e0: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ -0021a7f0: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ -0021a800: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -0021a810: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ -0021a820: 202d 7920 2279 7062 696e 642d 6d74 220a   -y "ypbind-mt".
│ │ │ +0021a050: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0021a060: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0021a070: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0021a080: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0021a090: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0021a0a0: 646d 3230 3930 3022 3e3c 7461 626c 6520  dm20900"><table 
│ │ │ +0021a0b0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0021a0c0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0021a0d0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0021a0e0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0021a0f0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0021a100: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0021a110: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0021a120: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0021a130: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0021a140: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0021a150: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0021a160: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0021a170: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0021a180: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0021a190: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0021a1a0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +0021a1b0: 2079 7062 696e 642d 6d74 2069 7320 7265   ypbind-mt is re
│ │ │ +0021a1c0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +0021a1d0: 0a20 2020 206e 616d 653a 2079 7062 696e  .    name: ypbin
│ │ │ +0021a1e0: 642d 6d74 0a20 2020 2073 7461 7465 3a20  d-mt.    state: 
│ │ │ +0021a1f0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +0021a200: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +0021a210: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +0021a220: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ +0021a230: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0021a240: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0021a250: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0021a260: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0021a270: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +0021a280: 5f79 7062 696e 645f 7265 6d6f 7665 640a  _ypbind_removed.
│ │ │ +0021a290: 2020 2d20 756e 6b6e 6f77 6e5f 7365 7665    - unknown_seve
│ │ │ +0021a2a0: 7269 7479 0a3c 2f63 6f64 653e 3c2f 7072  rity.</code></pr
│ │ │ +0021a2b0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0021a2c0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0021a2d0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0021a2e0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0021a2f0: 6172 6765 743d 2223 6964 6d32 3039 3031  arget="#idm20901
│ │ │ +0021a300: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0021a310: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0021a320: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0021a330: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0021a340: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0021a350: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0021a360: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +0021a370: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0021a380: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0021a390: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0021a3a0: 2069 643d 2269 646d 3230 3930 3122 3e3c   id="idm20901"><
│ │ │ +0021a3b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0021a3c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0021a3d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0021a3e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0021a3f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0021a400: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0021a410: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0021a420: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0021a430: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0021a440: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0021a450: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0021a460: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0021a470: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0021a480: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +0021a490: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0021a4a0: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +0021a4b0: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +0021a4c0: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +0021a4d0: 2072 656d 6f76 6520 7970 6269 6e64 2d6d   remove ypbind-m
│ │ │ +0021a4e0: 740a 2309 2020 2066 726f 6d20 7468 6520  t.#.   from the 
│ │ │ +0021a4f0: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ +0021a500: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ +0021a510: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ +0021a520: 7065 6e64 206f 6e20 7970 6269 6e64 2d6d  pend on ypbind-m
│ │ │ +0021a530: 742e 2045 7865 6375 7465 2074 6869 730a  t. Execute this.
│ │ │ +0021a540: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +0021a550: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +0021a560: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +0021a570: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +0021a580: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +0021a590: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +0021a5a0: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +0021a5b0: 7920 2279 7062 696e 642d 6d74 220a 3c2f  y "ypbind-mt".</
│ │ │ +0021a5c0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0021a5d0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0021a5e0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0021a5f0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0021a600: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0021a610: 2369 646d 3230 3930 3222 2074 6162 696e  #idm20902" tabin
│ │ │ +0021a620: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0021a630: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0021a640: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0021a650: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0021a660: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0021a670: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0021a680: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0021a690: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0021a6a0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0021a6b0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0021a6c0: 6964 6d32 3039 3032 223e 3c74 6162 6c65  idm20902"><table
│ │ │ +0021a6d0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0021a6e0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0021a6f0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0021a700: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0021a710: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0021a720: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0021a730: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0021a740: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0021a750: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0021a760: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0021a770: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0021a780: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0021a790: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0021a7a0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0021a7b0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0021a7c0: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +0021a7d0: 655f 7970 6269 6e64 2d6d 740a 0a63 6c61  e_ypbind-mt..cla
│ │ │ +0021a7e0: 7373 2072 656d 6f76 655f 7970 6269 6e64  ss remove_ypbind
│ │ │ +0021a7f0: 2d6d 7420 7b0a 2020 7061 636b 6167 6520  -mt {.  package 
│ │ │ +0021a800: 7b20 2779 7062 696e 642d 6d74 273a 0a20  { 'ypbind-mt':. 
│ │ │ +0021a810: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +0021a820: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  0021a830: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  0021a840: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  0021a850: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  0021a860: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  0021a870: 2064 6174 612d 7474 2d69 643d 2278 6363   data-tt-id="xcc
│ │ │  0021a880: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  0021a890: 742e 636f 6e74 656e 745f 7275 6c65 5f70  t.content_rule_p
│ │ │ @@ -138138,146 +138138,146 @@
│ │ │  0021b990: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  0021b9a0: 3031 3722 2074 6162 696e 6465 783d 2230  017" tabindex="0
│ │ │  0021b9b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  0021b9c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  0021b9d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  0021b9e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  0021b9f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0021ba00: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -0021ba10: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0021ba20: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0021ba30: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0021ba40: 6170 7365 2220 6964 3d22 6964 6d32 3130  apse" id="idm210
│ │ │ -0021ba50: 3137 223e 3c74 6162 6c65 2063 6c61 7373  17"><table class
│ │ │ -0021ba60: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -0021ba70: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -0021ba80: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -0021ba90: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -0021baa0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -0021bab0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0021bac0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -0021bad0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -0021bae0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0021baf0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -0021bb00: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -0021bb10: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -0021bb20: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -0021bb30: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0021bb40: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -0021bb50: 6c75 6465 2072 656d 6f76 655f 7970 7365  lude remove_ypse
│ │ │ -0021bb60: 7276 0a0a 636c 6173 7320 7265 6d6f 7665  rv..class remove
│ │ │ -0021bb70: 5f79 7073 6572 7620 7b0a 2020 7061 636b  _ypserv {.  pack
│ │ │ -0021bb80: 6167 6520 7b20 2779 7073 6572 7627 3a0a  age { 'ypserv':.
│ │ │ -0021bb90: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -0021bba0: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │ -0021bbb0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0021bbc0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0021bbd0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0021bbe0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0021bbf0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0021bc00: 743d 2223 6964 6d32 3130 3138 2220 7461  t="#idm21018" ta
│ │ │ -0021bc10: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0021bc20: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0021bc30: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0021bc40: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0021bc50: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0021bc60: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0021bc70: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -0021bc80: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0021bc90: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0021bca0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0021bcb0: 6964 3d22 6964 6d32 3130 3138 223e 3c74  id="idm21018"><t
│ │ │ -0021bcc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0021bcd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0021bce0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0021bcf0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0021bd00: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0021bd10: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0021bd20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0021bd30: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0021bd40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0021bd50: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0021bd60: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0021bd70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0021bd80: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0021bd90: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -0021bda0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0021bdb0: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -0021bdc0: 6e73 7572 6520 7970 7365 7276 2069 7320  nsure ypserv is 
│ │ │ -0021bdd0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -0021bde0: 653a 0a20 2020 206e 616d 653a 2079 7073  e:.    name: yps
│ │ │ -0021bdf0: 6572 760a 2020 2020 7374 6174 653a 2061  erv.    state: a
│ │ │ -0021be00: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -0021be10: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0021be20: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -0021be30: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -0021be40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0021be50: 2d37 2862 290a 2020 2d20 4e49 5354 2d38  -7(b).  - NIST-8
│ │ │ -0021be60: 3030 2d35 332d 4941 2d35 2831 2928 6329  00-53-IA-5(1)(c)
│ │ │ -0021be70: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0021be80: 2d32 2e32 2e32 0a20 202d 2050 4349 2d44  -2.2.2.  - PCI-D
│ │ │ -0021be90: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -0021bea0: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ -0021beb0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -0021bec0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -0021bed0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -0021bee0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -0021bef0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -0021bf00: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0021bf10: 202d 2070 6163 6b61 6765 5f79 7073 6572   - package_ypser
│ │ │ -0021bf20: 765f 7265 6d6f 7665 640a 3c2f 636f 6465  v_removed.</code
│ │ │ -0021bf30: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0021bf40: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0021bf50: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0021bf60: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0021bf70: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0021bf80: 3231 3031 3922 2074 6162 696e 6465 783d  21019" tabindex=
│ │ │ -0021bf90: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0021bfa0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0021bfb0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0021bfc0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0021bfd0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0021bfe0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -0021bff0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -0021c000: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0021c010: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0021c020: 6170 7365 2220 6964 3d22 6964 6d32 3130  apse" id="idm210
│ │ │ -0021c030: 3139 223e 3c74 6162 6c65 2063 6c61 7373  19"><table class
│ │ │ -0021c040: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -0021c050: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -0021c060: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -0021c070: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -0021c080: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -0021c090: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0021c0a0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -0021c0b0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -0021c0c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0021c0d0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -0021c0e0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -0021c0f0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -0021c100: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -0021c110: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0021c120: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ -0021c130: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ -0021c140: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ -0021c150: 2077 696c 6c20 7265 6d6f 7665 2079 7073   will remove yps
│ │ │ -0021c160: 6572 760a 2309 2020 2066 726f 6d20 7468  erv.#.   from th
│ │ │ -0021c170: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ -0021c180: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ -0021c190: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ -0021c1a0: 6465 7065 6e64 206f 6e20 7970 7365 7276  depend on ypserv
│ │ │ -0021c1b0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -0021c1c0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -0021c1d0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -0021c1e0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -0021c1f0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -0021c200: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -0021c210: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -0021c220: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -0021c230: 2022 7970 7365 7276 220a 3c2f 636f 6465   "ypserv".</code
│ │ │ +0021ba00: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +0021ba10: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0021ba20: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0021ba30: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0021ba40: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +0021ba50: 3031 3722 3e3c 7461 626c 6520 636c 6173  017"><table clas
│ │ │ +0021ba60: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0021ba70: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0021ba80: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0021ba90: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0021baa0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0021bab0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0021bac0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0021bad0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0021bae0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0021baf0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0021bb00: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0021bb10: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0021bb20: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +0021bb30: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0021bb40: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +0021bb50: 6e61 6d65 3a20 456e 7375 7265 2079 7073  name: Ensure yps
│ │ │ +0021bb60: 6572 7620 6973 2072 656d 6f76 6564 0a20  erv is removed. 
│ │ │ +0021bb70: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0021bb80: 6d65 3a20 7970 7365 7276 0a20 2020 2073  me: ypserv.    s
│ │ │ +0021bb90: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ +0021bba0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +0021bbb0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0021bbc0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0021bbd0: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ +0021bbe0: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ +0021bbf0: 204e 4953 542d 3830 302d 3533 2d49 412d   NIST-800-53-IA-
│ │ │ +0021bc00: 3528 3129 2863 290a 2020 2d20 5043 492d  5(1)(c).  - PCI-
│ │ │ +0021bc10: 4453 532d 5265 712d 322e 322e 320a 2020  DSS-Req-2.2.2.  
│ │ │ +0021bc20: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +0021bc30: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +0021bc40: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ +0021bc50: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ +0021bc60: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ +0021bc70: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0021bc80: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0021bc90: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0021bca0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0021bcb0: 655f 7970 7365 7276 5f72 656d 6f76 6564  e_ypserv_removed
│ │ │ +0021bcc0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0021bcd0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0021bce0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0021bcf0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0021bd00: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0021bd10: 743d 2223 6964 6d32 3130 3138 2220 7461  t="#idm21018" ta
│ │ │ +0021bd20: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0021bd30: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0021bd40: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0021bd50: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0021bd60: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0021bd70: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0021bd80: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ +0021bd90: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0021bda0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0021bdb0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0021bdc0: 2269 646d 3231 3031 3822 3e3c 7461 626c  "idm21018"><tabl
│ │ │ +0021bdd0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0021bde0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0021bdf0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0021be00: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0021be10: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0021be20: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0021be30: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0021be40: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0021be50: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0021be60: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0021be70: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0021be80: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0021be90: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0021bea0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +0021beb0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0021bec0: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ +0021bed0: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ +0021bee0: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ +0021bef0: 6f76 6520 7970 7365 7276 0a23 0920 2020  ove ypserv.#.   
│ │ │ +0021bf00: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ +0021bf10: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ +0021bf20: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ +0021bf30: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ +0021bf40: 2079 7073 6572 762e 2045 7865 6375 7465   ypserv. Execute
│ │ │ +0021bf50: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ +0021bf60: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ +0021bf70: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ +0021bf80: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ +0021bf90: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ +0021bfa0: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +0021bfb0: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ +0021bfc0: 6d6f 7665 202d 7920 2279 7073 6572 7622  move -y "ypserv"
│ │ │ +0021bfd0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0021bfe0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0021bff0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0021c000: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0021c010: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0021c020: 743d 2223 6964 6d32 3130 3139 2220 7461  t="#idm21019" ta
│ │ │ +0021c030: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0021c040: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0021c050: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0021c060: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0021c070: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0021c080: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0021c090: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +0021c0a0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0021c0b0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0021c0c0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0021c0d0: 643d 2269 646d 3231 3031 3922 3e3c 7461  d="idm21019"><ta
│ │ │ +0021c0e0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0021c0f0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0021c100: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0021c110: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0021c120: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0021c130: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0021c140: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0021c150: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0021c160: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0021c170: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0021c180: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0021c190: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0021c1a0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0021c1b0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +0021c1c0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0021c1d0: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ +0021c1e0: 6d6f 7665 5f79 7073 6572 760a 0a63 6c61  move_ypserv..cla
│ │ │ +0021c1f0: 7373 2072 656d 6f76 655f 7970 7365 7276  ss remove_ypserv
│ │ │ +0021c200: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0021c210: 7970 7365 7276 273a 0a20 2020 2065 6e73  ypserv':.    ens
│ │ │ +0021c220: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +0021c230: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  0021c240: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  0021c250: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  0021c260: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  0021c270: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  0021c280: 7474 2d69 643d 2263 6869 6c64 7265 6e2d  tt-id="children-
│ │ │  0021c290: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  0021c2a0: 6a65 6374 2e63 6f6e 7465 6e74 5f67 726f  ject.content_gro
│ │ │ @@ -138619,147 +138619,147 @@
│ │ │  0021d7a0: 7267 6574 3d22 2369 646d 3231 3133 3722  rget="#idm21137"
│ │ │  0021d7b0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  0021d7c0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  0021d7d0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  0021d7e0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  0021d7f0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  0021d800: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0021d810: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0021d820: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0021d830: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0021d840: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0021d850: 2220 6964 3d22 6964 6d32 3131 3337 223e  " id="idm21137">
│ │ │ -0021d860: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0021d870: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0021d880: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0021d890: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0021d8a0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0021d8b0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0021d8c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0021d8d0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0021d8e0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0021d8f0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0021d900: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0021d910: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0021d920: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0021d930: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0021d940: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0021d950: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -0021d960: 2072 656d 6f76 655f 7273 682d 7365 7276   remove_rsh-serv
│ │ │ -0021d970: 6572 0a0a 636c 6173 7320 7265 6d6f 7665  er..class remove
│ │ │ -0021d980: 5f72 7368 2d73 6572 7665 7220 7b0a 2020  _rsh-server {.  
│ │ │ -0021d990: 7061 636b 6167 6520 7b20 2772 7368 2d73  package { 'rsh-s
│ │ │ -0021d9a0: 6572 7665 7227 3a0a 2020 2020 656e 7375  erver':.    ensu
│ │ │ -0021d9b0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -0021d9c0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0021d9d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0021d9e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0021d9f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0021da00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0021da10: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -0021da20: 3131 3338 2220 7461 6269 6e64 6578 3d22  1138" tabindex="
│ │ │ -0021da30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0021da40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0021da50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0021da60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0021da70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0021da80: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0021da90: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0021daa0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0021dab0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0021dac0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0021dad0: 3131 3338 223e 3c74 6162 6c65 2063 6c61  1138"><table cla
│ │ │ -0021dae0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0021daf0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0021db00: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0021db10: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0021db20: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0021db30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0021db40: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0021db50: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0021db60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0021db70: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0021db80: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0021db90: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0021dba0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -0021dbb0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0021dbc0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0021dbd0: 206e 616d 653a 2045 6e73 7572 6520 7273   name: Ensure rs
│ │ │ -0021dbe0: 682d 7365 7276 6572 2069 7320 7265 6d6f  h-server is remo
│ │ │ -0021dbf0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -0021dc00: 2020 206e 616d 653a 2072 7368 2d73 6572     name: rsh-ser
│ │ │ -0021dc10: 7665 720a 2020 2020 7374 6174 653a 2061  ver.    state: a
│ │ │ -0021dc20: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -0021dc30: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0021dc40: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -0021dc50: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -0021dc60: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0021dc70: 2d37 2862 290a 2020 2d20 4e49 5354 2d38  -7(b).  - NIST-8
│ │ │ -0021dc80: 3030 2d35 332d 4941 2d35 2831 2928 6329  00-53-IA-5(1)(c)
│ │ │ -0021dc90: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0021dca0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0021dcb0: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ -0021dcc0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -0021dcd0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -0021dce0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -0021dcf0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -0021dd00: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -0021dd10: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -0021dd20: 6b61 6765 5f72 7368 2d73 6572 7665 725f  kage_rsh-server_
│ │ │ -0021dd30: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -0021dd40: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0021dd50: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0021dd60: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0021dd70: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0021dd80: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ -0021dd90: 3133 3922 2074 6162 696e 6465 783d 2230  139" tabindex="0
│ │ │ -0021dda0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0021ddb0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0021ddc0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0021ddd0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0021dde0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0021ddf0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0021de00: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0021de10: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0021de20: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0021de30: 7365 2220 6964 3d22 6964 6d32 3131 3339  se" id="idm21139
│ │ │ -0021de40: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0021de50: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0021de60: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0021de70: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0021de80: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0021de90: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0021dea0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0021deb0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0021dec0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0021ded0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0021dee0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0021def0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0021df00: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0021df10: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0021df20: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0021df30: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -0021df40: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -0021df50: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -0021df60: 696c 6c20 7265 6d6f 7665 2072 7368 2d73  ill remove rsh-s
│ │ │ -0021df70: 6572 7665 720a 2309 2020 2066 726f 6d20  erver.#.   from 
│ │ │ -0021df80: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -0021df90: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -0021dfa0: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -0021dfb0: 7420 6465 7065 6e64 206f 6e20 7273 682d  t depend on rsh-
│ │ │ -0021dfc0: 7365 7276 6572 2e20 4578 6563 7574 6520  server. Execute 
│ │ │ -0021dfd0: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ -0021dfe0: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ -0021dff0: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ -0021e000: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ -0021e010: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ -0021e020: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -0021e030: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ -0021e040: 6f76 6520 2d79 2022 7273 682d 7365 7276  ove -y "rsh-serv
│ │ │ -0021e050: 6572 220a 3c2f 636f 6465 3e3c 2f70 7265  er".</code></pre
│ │ │ +0021d810: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +0021d820: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0021d830: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0021d840: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0021d850: 6522 2069 643d 2269 646d 3231 3133 3722  e" id="idm21137"
│ │ │ +0021d860: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0021d870: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0021d880: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0021d890: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0021d8a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0021d8b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0021d8c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0021d8d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0021d8e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0021d8f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0021d900: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0021d910: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0021d920: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0021d930: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0021d940: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0021d950: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0021d960: 3a20 456e 7375 7265 2072 7368 2d73 6572  : Ensure rsh-ser
│ │ │ +0021d970: 7665 7220 6973 2072 656d 6f76 6564 0a20  ver is removed. 
│ │ │ +0021d980: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0021d990: 6d65 3a20 7273 682d 7365 7276 6572 0a20  me: rsh-server. 
│ │ │ +0021d9a0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +0021d9b0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +0021d9c0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +0021d9d0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0021d9e0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +0021d9f0: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +0021da00: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0021da10: 2d49 412d 3528 3129 2863 290a 2020 2d20  -IA-5(1)(c).  - 
│ │ │ +0021da20: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +0021da30: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +0021da40: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ +0021da50: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ +0021da60: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ +0021da70: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +0021da80: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +0021da90: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +0021daa0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +0021dab0: 7273 682d 7365 7276 6572 5f72 656d 6f76  rsh-server_remov
│ │ │ +0021dac0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0021dad0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0021dae0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0021daf0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0021db00: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0021db10: 6765 743d 2223 6964 6d32 3131 3338 2220  get="#idm21138" 
│ │ │ +0021db20: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0021db30: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0021db40: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0021db50: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0021db60: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0021db70: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0021db80: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +0021db90: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0021dba0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0021dbb0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0021dbc0: 643d 2269 646d 3231 3133 3822 3e3c 7461  d="idm21138"><ta
│ │ │ +0021dbd0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0021dbe0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0021dbf0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0021dc00: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0021dc10: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0021dc20: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0021dc30: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0021dc40: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0021dc50: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0021dc60: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0021dc70: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0021dc80: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0021dc90: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0021dca0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +0021dcb0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0021dcc0: 3c63 6f64 653e 0a23 2043 4155 5449 4f4e  <code>.# CAUTION
│ │ │ +0021dcd0: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ +0021dce0: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ +0021dcf0: 656d 6f76 6520 7273 682d 7365 7276 6572  emove rsh-server
│ │ │ +0021dd00: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ +0021dd10: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ +0021dd20: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ +0021dd30: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ +0021dd40: 656e 6420 6f6e 2072 7368 2d73 6572 7665  end on rsh-serve
│ │ │ +0021dd50: 722e 2045 7865 6375 7465 2074 6869 730a  r. Execute this.
│ │ │ +0021dd60: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +0021dd70: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +0021dd80: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +0021dd90: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +0021dda0: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +0021ddb0: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +0021ddc0: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +0021ddd0: 7920 2272 7368 2d73 6572 7665 7222 0a3c  y "rsh-server".<
│ │ │ +0021dde0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0021ddf0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0021de00: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0021de10: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0021de20: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0021de30: 2223 6964 6d32 3131 3339 2220 7461 6269  "#idm21139" tabi
│ │ │ +0021de40: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0021de50: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0021de60: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0021de70: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0021de80: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0021de90: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0021dea0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0021deb0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0021dec0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0021ded0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0021dee0: 2269 646d 3231 3133 3922 3e3c 7461 626c  "idm21139"><tabl
│ │ │ +0021def0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0021df00: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0021df10: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0021df20: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0021df30: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0021df40: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0021df50: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0021df60: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0021df70: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0021df80: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0021df90: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0021dfa0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0021dfb0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0021dfc0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +0021dfd0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0021dfe0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +0021dff0: 7665 5f72 7368 2d73 6572 7665 720a 0a63  ve_rsh-server..c
│ │ │ +0021e000: 6c61 7373 2072 656d 6f76 655f 7273 682d  lass remove_rsh-
│ │ │ +0021e010: 7365 7276 6572 207b 0a20 2070 6163 6b61  server {.  packa
│ │ │ +0021e020: 6765 207b 2027 7273 682d 7365 7276 6572  ge { 'rsh-server
│ │ │ +0021e030: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +0021e040: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +0021e050: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  0021e060: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  0021e070: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  0021e080: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  0021e090: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  0021e0a0: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  0021e0b0: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  0021e0c0: 6c65 5f70 6163 6b61 6765 5f72 7368 5f72  le_package_rsh_r
│ │ │ @@ -138937,139 +138937,139 @@
│ │ │  0021eb80: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0021eb90: 646d 3231 3136 3922 2074 6162 696e 6465  dm21169" tabinde
│ │ │  0021eba0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0021ebb0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0021ebc0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0021ebd0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0021ebe0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0021ebf0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0021ec00: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0021ec10: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0021ec20: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0021ec30: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0021ec40: 6d32 3131 3639 223e 3c74 6162 6c65 2063  m21169"><table c
│ │ │ -0021ec50: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0021ec60: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0021ec70: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0021ec80: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0021ec90: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0021eca0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0021ecb0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0021ecc0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0021ecd0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0021ece0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0021ecf0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0021ed00: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0021ed10: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0021ed20: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0021ed30: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0021ed40: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -0021ed50: 7273 680a 0a63 6c61 7373 2072 656d 6f76  rsh..class remov
│ │ │ -0021ed60: 655f 7273 6820 7b0a 2020 7061 636b 6167  e_rsh {.  packag
│ │ │ -0021ed70: 6520 7b20 2772 7368 273a 0a20 2020 2065  e { 'rsh':.    e
│ │ │ -0021ed80: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -0021ed90: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -0021eda0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0021edb0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0021edc0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0021edd0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0021ede0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0021edf0: 646d 3231 3137 3022 2074 6162 696e 6465  dm21170" tabinde
│ │ │ -0021ee00: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0021ee10: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0021ee20: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0021ee30: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0021ee40: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0021ee50: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0021ee60: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0021ee70: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0021ee80: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0021ee90: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0021eea0: 646d 3231 3137 3022 3e3c 7461 626c 6520  dm21170"><table 
│ │ │ -0021eeb0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0021eec0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0021eed0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0021eee0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0021eef0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0021ef00: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0021ef10: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0021ef20: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0021ef30: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0021ef40: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0021ef50: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0021ef60: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0021ef70: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0021ef80: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0021ef90: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0021efa0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -0021efb0: 2072 7368 2069 7320 7265 6d6f 7665 640a   rsh is removed.
│ │ │ -0021efc0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -0021efd0: 616d 653a 2072 7368 0a20 2020 2073 7461  ame: rsh.    sta
│ │ │ -0021efe0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -0021eff0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0021f000: 3137 312d 332e 312e 3133 0a20 202d 2050  171-3.1.13.  - P
│ │ │ -0021f010: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -0021f020: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -0021f030: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -0021f040: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -0021f050: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0021f060: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0021f070: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0021f080: 0a20 202d 2070 6163 6b61 6765 5f72 7368  .  - package_rsh
│ │ │ -0021f090: 5f72 656d 6f76 6564 0a20 202d 2075 6e6b  _removed.  - unk
│ │ │ -0021f0a0: 6e6f 776e 5f73 6576 6572 6974 790a 3c2f  nown_severity.</
│ │ │ -0021f0b0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0021f0c0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0021f0d0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0021f0e0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0021f0f0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0021f100: 2369 646d 3231 3137 3122 2074 6162 696e  #idm21171" tabin
│ │ │ -0021f110: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0021f120: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0021f130: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0021f140: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0021f150: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0021f160: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -0021f170: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -0021f180: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0021f190: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0021f1a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0021f1b0: 6d32 3131 3731 223e 3c74 6162 6c65 2063  m21171"><table c
│ │ │ -0021f1c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0021f1d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0021f1e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0021f1f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0021f200: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0021f210: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0021f220: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0021f230: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0021f240: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0021f250: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0021f260: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0021f270: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0021f280: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0021f290: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0021f2a0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0021f2b0: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -0021f2c0: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -0021f2d0: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -0021f2e0: 2072 7368 0a23 0920 2020 6672 6f6d 2074   rsh.#.   from t
│ │ │ -0021f2f0: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ -0021f300: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ -0021f310: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ -0021f320: 2064 6570 656e 6420 6f6e 2072 7368 2e20   depend on rsh. 
│ │ │ -0021f330: 4578 6563 7574 6520 7468 6973 0a23 0920  Execute this.#. 
│ │ │ -0021f340: 2020 7265 6d65 6469 6174 696f 6e20 4146    remediation AF
│ │ │ -0021f350: 5445 5220 7465 7374 696e 6720 6f6e 2061  TER testing on a
│ │ │ -0021f360: 206e 6f6e 2d70 726f 6475 6374 696f 6e0a   non-production.
│ │ │ -0021f370: 2309 2020 2073 7973 7465 6d21 0a0a 4445  #.   system!..DE
│ │ │ -0021f380: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ -0021f390: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ -0021f3a0: 2d67 6574 2072 656d 6f76 6520 2d79 2022  -get remove -y "
│ │ │ -0021f3b0: 7273 6822 0a3c 2f63 6f64 653e 3c2f 7072  rsh".</code></pr
│ │ │ +0021ebf0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0021ec00: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0021ec10: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0021ec20: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0021ec30: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0021ec40: 646d 3231 3136 3922 3e3c 7461 626c 6520  dm21169"><table 
│ │ │ +0021ec50: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0021ec60: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0021ec70: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0021ec80: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0021ec90: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0021eca0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0021ecb0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0021ecc0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0021ecd0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0021ece0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0021ecf0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0021ed00: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0021ed10: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0021ed20: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0021ed30: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0021ed40: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +0021ed50: 2072 7368 2069 7320 7265 6d6f 7665 640a   rsh is removed.
│ │ │ +0021ed60: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +0021ed70: 616d 653a 2072 7368 0a20 2020 2073 7461  ame: rsh.    sta
│ │ │ +0021ed80: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +0021ed90: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0021eda0: 3137 312d 332e 312e 3133 0a20 202d 2050  171-3.1.13.  - P
│ │ │ +0021edb0: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +0021edc0: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ +0021edd0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +0021ede0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0021edf0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0021ee00: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0021ee10: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0021ee20: 0a20 202d 2070 6163 6b61 6765 5f72 7368  .  - package_rsh
│ │ │ +0021ee30: 5f72 656d 6f76 6564 0a20 202d 2075 6e6b  _removed.  - unk
│ │ │ +0021ee40: 6e6f 776e 5f73 6576 6572 6974 790a 3c2f  nown_severity.</
│ │ │ +0021ee50: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0021ee60: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0021ee70: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0021ee80: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0021ee90: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0021eea0: 2369 646d 3231 3137 3022 2074 6162 696e  #idm21170" tabin
│ │ │ +0021eeb0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0021eec0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0021eed0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0021eee0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0021eef0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0021ef00: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +0021ef10: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +0021ef20: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0021ef30: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0021ef40: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0021ef50: 6d32 3131 3730 223e 3c74 6162 6c65 2063  m21170"><table c
│ │ │ +0021ef60: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0021ef70: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0021ef80: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0021ef90: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0021efa0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0021efb0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0021efc0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0021efd0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0021efe0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0021eff0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0021f000: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0021f010: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0021f020: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0021f030: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0021f040: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0021f050: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ +0021f060: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +0021f070: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +0021f080: 2072 7368 0a23 0920 2020 6672 6f6d 2074   rsh.#.   from t
│ │ │ +0021f090: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ +0021f0a0: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ +0021f0b0: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ +0021f0c0: 2064 6570 656e 6420 6f6e 2072 7368 2e20   depend on rsh. 
│ │ │ +0021f0d0: 4578 6563 7574 6520 7468 6973 0a23 0920  Execute this.#. 
│ │ │ +0021f0e0: 2020 7265 6d65 6469 6174 696f 6e20 4146    remediation AF
│ │ │ +0021f0f0: 5445 5220 7465 7374 696e 6720 6f6e 2061  TER testing on a
│ │ │ +0021f100: 206e 6f6e 2d70 726f 6475 6374 696f 6e0a   non-production.
│ │ │ +0021f110: 2309 2020 2073 7973 7465 6d21 0a0a 4445  #.   system!..DE
│ │ │ +0021f120: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +0021f130: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +0021f140: 2d67 6574 2072 656d 6f76 6520 2d79 2022  -get remove -y "
│ │ │ +0021f150: 7273 6822 0a3c 2f63 6f64 653e 3c2f 7072  rsh".</code></pr
│ │ │ +0021f160: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0021f170: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0021f180: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0021f190: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0021f1a0: 6172 6765 743d 2223 6964 6d32 3131 3731  arget="#idm21171
│ │ │ +0021f1b0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0021f1c0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0021f1d0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0021f1e0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0021f1f0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0021f200: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0021f210: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0021f220: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0021f230: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0021f240: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0021f250: 6522 2069 643d 2269 646d 3231 3137 3122  e" id="idm21171"
│ │ │ +0021f260: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0021f270: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0021f280: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0021f290: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0021f2a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0021f2b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0021f2c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0021f2d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0021f2e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0021f2f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0021f300: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0021f310: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0021f320: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0021f330: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0021f340: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0021f350: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +0021f360: 6520 7265 6d6f 7665 5f72 7368 0a0a 636c  e remove_rsh..cl
│ │ │ +0021f370: 6173 7320 7265 6d6f 7665 5f72 7368 207b  ass remove_rsh {
│ │ │ +0021f380: 0a20 2070 6163 6b61 6765 207b 2027 7273  .  package { 'rs
│ │ │ +0021f390: 6827 3a0a 2020 2020 656e 7375 7265 203d  h':.    ensure =
│ │ │ +0021f3a0: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ +0021f3b0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  0021f3c0: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  0021f3d0: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  0021f3e0: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  0021f3f0: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  0021f400: 3d22 6368 696c 6472 656e 2d78 6363 6466  ="children-xccdf
│ │ │  0021f410: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  0021f420: 636f 6e74 656e 745f 6772 6f75 705f 7461  content_group_ta
│ │ │ @@ -139276,141 +139276,141 @@
│ │ │  002200b0: 2d74 6172 6765 743d 2223 6964 6d32 3133  -target="#idm213
│ │ │  002200c0: 3036 2220 7461 6269 6e64 6578 3d22 3022  06" tabindex="0"
│ │ │  002200d0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  002200e0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  002200f0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00220100: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00220110: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00220120: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00220130: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00220140: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00220150: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00220160: 7073 6522 2069 643d 2269 646d 3231 3330  pse" id="idm2130
│ │ │ -00220170: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -00220180: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00220190: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -002201a0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -002201b0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -002201c0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -002201d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -002201e0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -002201f0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00220200: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00220210: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00220220: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00220230: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00220240: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00220250: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00220260: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00220270: 7564 6520 7265 6d6f 7665 5f74 616c 6b2d  ude remove_talk-
│ │ │ -00220280: 7365 7276 6572 0a0a 636c 6173 7320 7265  server..class re
│ │ │ -00220290: 6d6f 7665 5f74 616c 6b2d 7365 7276 6572  move_talk-server
│ │ │ -002202a0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -002202b0: 7461 6c6b 2d73 6572 7665 7227 3a0a 2020  talk-server':.  
│ │ │ -002202c0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -002202d0: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -002202e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -002202f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00220300: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00220310: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00220320: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00220330: 2223 6964 6d32 3133 3037 2220 7461 6269  "#idm21307" tabi
│ │ │ -00220340: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00220350: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00220360: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00220370: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00220380: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00220390: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -002203a0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -002203b0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -002203c0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -002203d0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -002203e0: 3d22 6964 6d32 3133 3037 223e 3c74 6162  ="idm21307"><tab
│ │ │ -002203f0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00220400: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00220410: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00220420: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00220430: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00220440: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00220450: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00220460: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00220470: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00220480: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00220490: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -002204a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -002204b0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -002204c0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -002204d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -002204e0: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -002204f0: 7572 6520 7461 6c6b 2d73 6572 7665 7220  ure talk-server 
│ │ │ -00220500: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -00220510: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -00220520: 7461 6c6b 2d73 6572 7665 720a 2020 2020  talk-server.    
│ │ │ -00220530: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -00220540: 7461 6773 3a0a 2020 2d20 5043 492d 4453  tags:.  - PCI-DS
│ │ │ -00220550: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ -00220560: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ -00220570: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -00220580: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00220590: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -002205a0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -002205b0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -002205c0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -002205d0: 2020 2d20 7061 636b 6167 655f 7461 6c6b    - package_talk
│ │ │ -002205e0: 2d73 6572 7665 725f 7265 6d6f 7665 640a  -server_removed.
│ │ │ -002205f0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00220600: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00220610: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00220620: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00220630: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00220640: 3d22 2369 646d 3231 3330 3822 2074 6162  ="#idm21308" tab
│ │ │ -00220650: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00220660: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00220670: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00220680: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00220690: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -002206a0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -002206b0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -002206c0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -002206d0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -002206e0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -002206f0: 6964 6d32 3133 3038 223e 3c74 6162 6c65  idm21308"><table
│ │ │ -00220700: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00220710: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00220720: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00220730: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00220740: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00220750: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00220760: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00220770: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00220780: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00220790: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -002207a0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -002207b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -002207c0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -002207d0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -002207e0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -002207f0: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ -00220800: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ -00220810: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ -00220820: 7665 2074 616c 6b2d 7365 7276 6572 0a23  ve talk-server.#
│ │ │ -00220830: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -00220840: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -00220850: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -00220860: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -00220870: 6420 6f6e 2074 616c 6b2d 7365 7276 6572  d on talk-server
│ │ │ -00220880: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00220890: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -002208a0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -002208b0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -002208c0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -002208d0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -002208e0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -002208f0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -00220900: 2022 7461 6c6b 2d73 6572 7665 7222 0a3c   "talk-server".<
│ │ │ +00220120: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00220130: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00220140: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00220150: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00220160: 6170 7365 2220 6964 3d22 6964 6d32 3133  apse" id="idm213
│ │ │ +00220170: 3036 223e 3c74 6162 6c65 2063 6c61 7373  06"><table class
│ │ │ +00220180: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00220190: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +002201a0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +002201b0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +002201c0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +002201d0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +002201e0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +002201f0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00220200: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00220210: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00220220: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00220230: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00220240: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00220250: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00220260: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00220270: 616d 653a 2045 6e73 7572 6520 7461 6c6b  ame: Ensure talk
│ │ │ +00220280: 2d73 6572 7665 7220 6973 2072 656d 6f76  -server is remov
│ │ │ +00220290: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +002202a0: 2020 6e61 6d65 3a20 7461 6c6b 2d73 6572    name: talk-ser
│ │ │ +002202b0: 7665 720a 2020 2020 7374 6174 653a 2061  ver.    state: a
│ │ │ +002202c0: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ +002202d0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +002202e0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +002202f0: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ +00220300: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00220310: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00220320: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00220330: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +00220340: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00220350: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00220360: 6167 655f 7461 6c6b 2d73 6572 7665 725f  age_talk-server_
│ │ │ +00220370: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00220380: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00220390: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +002203a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +002203b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +002203c0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ +002203d0: 3330 3722 2074 6162 696e 6465 783d 2230  307" tabindex="0
│ │ │ +002203e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +002203f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00220400: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00220410: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00220420: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00220430: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +00220440: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +00220450: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00220460: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00220470: 7365 2220 6964 3d22 6964 6d32 3133 3037  se" id="idm21307
│ │ │ +00220480: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00220490: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +002204a0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +002204b0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +002204c0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +002204d0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +002204e0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +002204f0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00220500: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00220510: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00220520: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00220530: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00220540: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00220550: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +00220560: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00220570: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ +00220580: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ +00220590: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ +002205a0: 696c 6c20 7265 6d6f 7665 2074 616c 6b2d  ill remove talk-
│ │ │ +002205b0: 7365 7276 6572 0a23 0920 2020 6672 6f6d  server.#.   from
│ │ │ +002205c0: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +002205d0: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +002205e0: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +002205f0: 6174 2064 6570 656e 6420 6f6e 2074 616c  at depend on tal
│ │ │ +00220600: 6b2d 7365 7276 6572 2e20 4578 6563 7574  k-server. Execut
│ │ │ +00220610: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ +00220620: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ +00220630: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ +00220640: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ +00220650: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ +00220660: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +00220670: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ +00220680: 656d 6f76 6520 2d79 2022 7461 6c6b 2d73  emove -y "talk-s
│ │ │ +00220690: 6572 7665 7222 0a3c 2f63 6f64 653e 3c2f  erver".</code></
│ │ │ +002206a0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +002206b0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +002206c0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +002206d0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +002206e0: 2d74 6172 6765 743d 2223 6964 6d32 3133  -target="#idm213
│ │ │ +002206f0: 3038 2220 7461 6269 6e64 6578 3d22 3022  08" tabindex="0"
│ │ │ +00220700: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00220710: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00220720: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00220730: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00220740: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00220750: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00220760: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00220770: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00220780: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00220790: 7073 6522 2069 643d 2269 646d 3231 3330  pse" id="idm2130
│ │ │ +002207a0: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +002207b0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +002207c0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +002207d0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +002207e0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +002207f0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00220800: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00220810: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00220820: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00220830: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00220840: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00220850: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00220860: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00220870: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00220880: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00220890: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +002208a0: 7564 6520 7265 6d6f 7665 5f74 616c 6b2d  ude remove_talk-
│ │ │ +002208b0: 7365 7276 6572 0a0a 636c 6173 7320 7265  server..class re
│ │ │ +002208c0: 6d6f 7665 5f74 616c 6b2d 7365 7276 6572  move_talk-server
│ │ │ +002208d0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +002208e0: 7461 6c6b 2d73 6572 7665 7227 3a0a 2020  talk-server':.  
│ │ │ +002208f0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00220900: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  00220910: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00220920: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  00220930: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  00220940: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  00220950: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  00220960: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  00220970: 2e63 6f6e 7465 6e74 5f72 756c 655f 7061  .content_rule_pa
│ │ │ @@ -139575,138 +139575,138 @@
│ │ │  00221360: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00221370: 2223 6964 6d32 3133 3330 2220 7461 6269  "#idm21330" tabi
│ │ │  00221380: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00221390: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  002213a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  002213b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  002213c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -002213d0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -002213e0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -002213f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00221400: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00221410: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00221420: 2269 646d 3231 3333 3022 3e3c 7461 626c  "idm21330"><tabl
│ │ │ -00221430: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00221440: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00221450: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00221460: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00221470: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00221480: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00221490: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -002214a0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -002214b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -002214c0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -002214d0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -002214e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -002214f0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00221500: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00221510: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00221520: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ -00221530: 7665 5f74 616c 6b0a 0a63 6c61 7373 2072  ve_talk..class r
│ │ │ -00221540: 656d 6f76 655f 7461 6c6b 207b 0a20 2070  emove_talk {.  p
│ │ │ -00221550: 6163 6b61 6765 207b 2027 7461 6c6b 273a  ackage { 'talk':
│ │ │ -00221560: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00221570: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ -00221580: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00221590: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -002215a0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -002215b0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -002215c0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -002215d0: 6574 3d22 2369 646d 3231 3333 3122 2074  et="#idm21331" t
│ │ │ -002215e0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -002215f0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00221600: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00221610: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00221620: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00221630: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00221640: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -00221650: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00221660: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00221670: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00221680: 2069 643d 2269 646d 3231 3333 3122 3e3c   id="idm21331"><
│ │ │ -00221690: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -002216a0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -002216b0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -002216c0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -002216d0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -002216e0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -002216f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00221700: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00221710: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00221720: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00221730: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00221740: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00221750: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00221760: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00221770: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00221780: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00221790: 456e 7375 7265 2074 616c 6b20 6973 2072  Ensure talk is r
│ │ │ -002217a0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -002217b0: 3a0a 2020 2020 6e61 6d65 3a20 7461 6c6b  :.    name: talk
│ │ │ -002217c0: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ -002217d0: 6e74 0a20 2074 6167 733a 0a20 202d 2050  nt.  tags:.  - P
│ │ │ -002217e0: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -002217f0: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00221800: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00221810: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00221820: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00221830: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00221840: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00221850: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00221860: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00221870: 5f74 616c 6b5f 7265 6d6f 7665 640a 3c2f  _talk_removed.</
│ │ │ -00221880: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00221890: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -002218a0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -002218b0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -002218c0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -002218d0: 2369 646d 3231 3333 3222 2074 6162 696e  #idm21332" tabin
│ │ │ -002218e0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -002218f0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00221900: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00221910: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00221920: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00221930: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -00221940: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -00221950: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00221960: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00221970: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00221980: 6d32 3133 3332 223e 3c74 6162 6c65 2063  m21332"><table c
│ │ │ -00221990: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -002219a0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -002219b0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -002219c0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -002219d0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -002219e0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -002219f0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00221a00: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00221a10: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00221a20: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00221a30: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00221a40: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00221a50: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00221a60: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00221a70: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00221a80: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -00221a90: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -00221aa0: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -00221ab0: 2074 616c 6b0a 2309 2020 2066 726f 6d20   talk.#.   from 
│ │ │ -00221ac0: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -00221ad0: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -00221ae0: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -00221af0: 7420 6465 7065 6e64 206f 6e20 7461 6c6b  t depend on talk
│ │ │ -00221b00: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00221b10: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00221b20: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00221b30: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00221b40: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -00221b50: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -00221b60: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -00221b70: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -00221b80: 2022 7461 6c6b 220a 3c2f 636f 6465 3e3c   "talk".</code><
│ │ │ +002213d0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +002213e0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +002213f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00221400: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00221410: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00221420: 3d22 6964 6d32 3133 3330 223e 3c74 6162  ="idm21330"><tab
│ │ │ +00221430: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00221440: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00221450: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00221460: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00221470: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00221480: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00221490: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +002214a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +002214b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +002214c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +002214d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +002214e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +002214f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00221500: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00221510: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00221520: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ +00221530: 7572 6520 7461 6c6b 2069 7320 7265 6d6f  ure talk is remo
│ │ │ +00221540: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +00221550: 2020 206e 616d 653a 2074 616c 6b0a 2020     name: talk.  
│ │ │ +00221560: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00221570: 2020 7461 6773 3a0a 2020 2d20 5043 492d    tags:.  - PCI-
│ │ │ +00221580: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +00221590: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +002215a0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +002215b0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +002215c0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +002215d0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +002215e0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +002215f0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00221600: 640a 2020 2d20 7061 636b 6167 655f 7461  d.  - package_ta
│ │ │ +00221610: 6c6b 5f72 656d 6f76 6564 0a3c 2f63 6f64  lk_removed.</cod
│ │ │ +00221620: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00221630: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00221640: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00221650: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00221660: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00221670: 6d32 3133 3331 2220 7461 6269 6e64 6578  m21331" tabindex
│ │ │ +00221680: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00221690: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +002216a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +002216b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +002216c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +002216d0: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +002216e0: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +002216f0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00221700: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00221710: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +00221720: 3333 3122 3e3c 7461 626c 6520 636c 6173  331"><table clas
│ │ │ +00221730: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00221740: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00221750: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00221760: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00221770: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00221780: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00221790: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +002217a0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +002217b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +002217c0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +002217d0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +002217e0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +002217f0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00221800: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00221810: 6c65 3e3c 7072 653e 3c63 6f64 653e 0a23  le><pre><code>.#
│ │ │ +00221820: 2043 4155 5449 4f4e 3a20 5468 6973 2072   CAUTION: This r
│ │ │ +00221830: 656d 6564 6961 7469 6f6e 2073 6372 6970  emediation scrip
│ │ │ +00221840: 7420 7769 6c6c 2072 656d 6f76 6520 7461  t will remove ta
│ │ │ +00221850: 6c6b 0a23 0920 2020 6672 6f6d 2074 6865  lk.#.   from the
│ │ │ +00221860: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +00221870: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +00221880: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +00221890: 6570 656e 6420 6f6e 2074 616c 6b2e 2045  epend on talk. E
│ │ │ +002218a0: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ +002218b0: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ +002218c0: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ +002218d0: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ +002218e0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ +002218f0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +00221900: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +00221910: 6765 7420 7265 6d6f 7665 202d 7920 2274  get remove -y "t
│ │ │ +00221920: 616c 6b22 0a3c 2f63 6f64 653e 3c2f 7072  alk".</code></pr
│ │ │ +00221930: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00221940: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00221950: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00221960: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00221970: 6172 6765 743d 2223 6964 6d32 3133 3332  arget="#idm21332
│ │ │ +00221980: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00221990: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +002219a0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +002219b0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +002219c0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +002219d0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +002219e0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +002219f0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00221a00: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00221a10: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00221a20: 6522 2069 643d 2269 646d 3231 3333 3222  e" id="idm21332"
│ │ │ +00221a30: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00221a40: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00221a50: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00221a60: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00221a70: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00221a80: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00221a90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00221aa0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00221ab0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00221ac0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00221ad0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00221ae0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00221af0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00221b00: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00221b10: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00221b20: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00221b30: 6520 7265 6d6f 7665 5f74 616c 6b0a 0a63  e remove_talk..c
│ │ │ +00221b40: 6c61 7373 2072 656d 6f76 655f 7461 6c6b  lass remove_talk
│ │ │ +00221b50: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00221b60: 7461 6c6b 273a 0a20 2020 2065 6e73 7572  talk':.    ensur
│ │ │ +00221b70: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +00221b80: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00221b90: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  00221ba0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00221bb0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00221bc0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00221bd0: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  00221be0: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00221bf0: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -140076,149 +140076,149 @@
│ │ │  002232b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  002232c0: 646d 3231 3435 3122 2074 6162 696e 6465  dm21451" tabinde
│ │ │  002232d0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  002232e0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  002232f0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00223300: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00223310: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00223320: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00223330: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00223340: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00223350: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00223360: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00223370: 6d32 3134 3531 223e 3c74 6162 6c65 2063  m21451"><table c
│ │ │ -00223380: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00223390: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -002233a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -002233b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -002233c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -002233d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -002233e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -002233f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00223400: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00223410: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00223420: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00223430: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00223440: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00223450: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00223460: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00223470: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -00223480: 7465 6c6e 6574 2d73 6572 7665 720a 0a63  telnet-server..c
│ │ │ -00223490: 6c61 7373 2072 656d 6f76 655f 7465 6c6e  lass remove_teln
│ │ │ -002234a0: 6574 2d73 6572 7665 7220 7b0a 2020 7061  et-server {.  pa
│ │ │ -002234b0: 636b 6167 6520 7b20 2774 656c 6e65 742d  ckage { 'telnet-
│ │ │ -002234c0: 7365 7276 6572 273a 0a20 2020 2065 6e73  server':.    ens
│ │ │ -002234d0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -002234e0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -002234f0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00223500: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00223510: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00223520: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00223530: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00223540: 3231 3435 3222 2074 6162 696e 6465 783d  21452" tabindex=
│ │ │ -00223550: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00223560: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00223570: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00223580: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00223590: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -002235a0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -002235b0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -002235c0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -002235d0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -002235e0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -002235f0: 3231 3435 3222 3e3c 7461 626c 6520 636c  21452"><table cl
│ │ │ -00223600: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00223610: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00223620: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00223630: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00223640: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00223650: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00223660: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00223670: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00223680: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00223690: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -002236a0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -002236b0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -002236c0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -002236d0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -002236e0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -002236f0: 2d20 6e61 6d65 3a20 456e 7375 7265 2074  - name: Ensure t
│ │ │ -00223700: 656c 6e65 742d 7365 7276 6572 2069 7320  elnet-server is 
│ │ │ -00223710: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -00223720: 653a 0a20 2020 206e 616d 653a 2074 656c  e:.    name: tel
│ │ │ -00223730: 6e65 742d 7365 7276 6572 0a20 2020 2073  net-server.    s
│ │ │ -00223740: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -00223750: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00223760: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00223770: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00223780: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -00223790: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ -002237a0: 2050 4349 2d44 5353 2d52 6571 2d32 2e32   PCI-DSS-Req-2.2
│ │ │ -002237b0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -002237c0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ -002237d0: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ -002237e0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -002237f0: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ -00223800: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00223810: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00223820: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -00223830: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00223840: 6163 6b61 6765 5f74 656c 6e65 742d 7365  ackage_telnet-se
│ │ │ -00223850: 7276 6572 5f72 656d 6f76 6564 0a3c 2f63  rver_removed.</c
│ │ │ -00223860: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00223870: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00223880: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00223890: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -002238a0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -002238b0: 6964 6d32 3134 3533 2220 7461 6269 6e64  idm21453" tabind
│ │ │ -002238c0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -002238d0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -002238e0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -002238f0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00223900: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00223910: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -00223920: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -00223930: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00223940: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00223950: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00223960: 3231 3435 3322 3e3c 7461 626c 6520 636c  21453"><table cl
│ │ │ -00223970: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00223980: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00223990: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -002239a0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -002239b0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -002239c0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -002239d0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -002239e0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -002239f0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00223a00: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00223a10: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00223a20: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00223a30: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00223a40: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00223a50: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00223a60: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -00223a70: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -00223a80: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -00223a90: 7465 6c6e 6574 2d73 6572 7665 720a 2309  telnet-server.#.
│ │ │ -00223aa0: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ -00223ab0: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ -00223ac0: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ -00223ad0: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ -00223ae0: 206f 6e20 7465 6c6e 6574 2d73 6572 7665   on telnet-serve
│ │ │ -00223af0: 722e 2045 7865 6375 7465 2074 6869 730a  r. Execute this.
│ │ │ -00223b00: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ -00223b10: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ -00223b20: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ -00223b30: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ -00223b40: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -00223b50: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -00223b60: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ -00223b70: 7920 2274 656c 6e65 742d 7365 7276 6572  y "telnet-server
│ │ │ -00223b80: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +00223320: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00223330: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00223340: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00223350: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00223360: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00223370: 646d 3231 3435 3122 3e3c 7461 626c 6520  dm21451"><table 
│ │ │ +00223380: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00223390: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +002233a0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +002233b0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +002233c0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +002233d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +002233e0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +002233f0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00223400: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00223410: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00223420: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00223430: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00223440: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00223450: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00223460: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00223470: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +00223480: 2074 656c 6e65 742d 7365 7276 6572 2069   telnet-server i
│ │ │ +00223490: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +002234a0: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ +002234b0: 656c 6e65 742d 7365 7276 6572 0a20 2020  elnet-server.   
│ │ │ +002234c0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +002234d0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +002234e0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +002234f0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00223500: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ +00223510: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ +00223520: 202d 2050 4349 2d44 5353 2d52 6571 2d32   - PCI-DSS-Req-2
│ │ │ +00223530: 2e32 2e32 0a20 202d 2050 4349 2d44 5353  .2.2.  - PCI-DSS
│ │ │ +00223540: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ +00223550: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ +00223560: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +00223570: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +00223580: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00223590: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +002235a0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +002235b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +002235c0: 2070 6163 6b61 6765 5f74 656c 6e65 742d   package_telnet-
│ │ │ +002235d0: 7365 7276 6572 5f72 656d 6f76 6564 0a3c  server_removed.<
│ │ │ +002235e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +002235f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00223600: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00223610: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00223620: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00223630: 2223 6964 6d32 3134 3532 2220 7461 6269  "#idm21452" tabi
│ │ │ +00223640: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00223650: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00223660: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00223670: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00223680: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00223690: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +002236a0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +002236b0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +002236c0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +002236d0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +002236e0: 646d 3231 3435 3222 3e3c 7461 626c 6520  dm21452"><table 
│ │ │ +002236f0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00223700: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00223710: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00223720: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00223730: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00223740: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00223750: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00223760: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00223770: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00223780: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00223790: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +002237a0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +002237b0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +002237c0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +002237d0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +002237e0: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ +002237f0: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ +00223800: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ +00223810: 6520 7465 6c6e 6574 2d73 6572 7665 720a  e telnet-server.
│ │ │ +00223820: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +00223830: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +00223840: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +00223850: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +00223860: 6e64 206f 6e20 7465 6c6e 6574 2d73 6572  nd on telnet-ser
│ │ │ +00223870: 7665 722e 2045 7865 6375 7465 2074 6869  ver. Execute thi
│ │ │ +00223880: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ +00223890: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ +002238a0: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ +002238b0: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ +002238c0: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ +002238d0: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +002238e0: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ +002238f0: 202d 7920 2274 656c 6e65 742d 7365 7276   -y "telnet-serv
│ │ │ +00223900: 6572 220a 3c2f 636f 6465 3e3c 2f70 7265  er".</code></pre
│ │ │ +00223910: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00223920: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00223930: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00223940: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00223950: 7267 6574 3d22 2369 646d 3231 3435 3322  rget="#idm21453"
│ │ │ +00223960: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00223970: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00223980: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00223990: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +002239a0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +002239b0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +002239c0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +002239d0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +002239e0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +002239f0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00223a00: 2220 6964 3d22 6964 6d32 3134 3533 223e  " id="idm21453">
│ │ │ +00223a10: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00223a20: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00223a30: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00223a40: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00223a50: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00223a60: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00223a70: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00223a80: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00223a90: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00223aa0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00223ab0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00223ac0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00223ad0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00223ae0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00223af0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00223b00: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00223b10: 2072 656d 6f76 655f 7465 6c6e 6574 2d73   remove_telnet-s
│ │ │ +00223b20: 6572 7665 720a 0a63 6c61 7373 2072 656d  erver..class rem
│ │ │ +00223b30: 6f76 655f 7465 6c6e 6574 2d73 6572 7665  ove_telnet-serve
│ │ │ +00223b40: 7220 7b0a 2020 7061 636b 6167 6520 7b20  r {.  package { 
│ │ │ +00223b50: 2774 656c 6e65 742d 7365 7276 6572 273a  'telnet-server':
│ │ │ +00223b60: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00223b70: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +00223b80: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00223b90: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00223ba0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00223bb0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00223bc0: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  00223bd0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00223be0: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  00223bf0: 5f70 6163 6b61 6765 5f74 656c 6e65 745f  _package_telnet_
│ │ │ @@ -140387,140 +140387,140 @@
│ │ │  00224620: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  00224630: 3438 3022 2074 6162 696e 6465 783d 2230  480" tabindex="0
│ │ │  00224640: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00224650: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00224660: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00224670: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00224680: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00224690: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -002246a0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -002246b0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -002246c0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -002246d0: 6170 7365 2220 6964 3d22 6964 6d32 3134  apse" id="idm214
│ │ │ -002246e0: 3830 223e 3c74 6162 6c65 2063 6c61 7373  80"><table class
│ │ │ -002246f0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00224700: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00224710: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00224720: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00224730: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00224740: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00224750: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00224760: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00224770: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00224780: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00224790: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -002247a0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -002247b0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -002247c0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -002247d0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -002247e0: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ -002247f0: 6574 0a0a 636c 6173 7320 7265 6d6f 7665  et..class remove
│ │ │ -00224800: 5f74 656c 6e65 7420 7b0a 2020 7061 636b  _telnet {.  pack
│ │ │ -00224810: 6167 6520 7b20 2774 656c 6e65 7427 3a0a  age { 'telnet':.
│ │ │ -00224820: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00224830: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │ -00224840: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00224850: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00224860: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00224870: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00224880: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00224890: 743d 2223 6964 6d32 3134 3831 2220 7461  t="#idm21481" ta
│ │ │ -002248a0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -002248b0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -002248c0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -002248d0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -002248e0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -002248f0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00224900: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00224910: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00224920: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00224930: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00224940: 6964 3d22 6964 6d32 3134 3831 223e 3c74  id="idm21481"><t
│ │ │ -00224950: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00224960: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00224970: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00224980: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00224990: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -002249a0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -002249b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -002249c0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -002249d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -002249e0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -002249f0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00224a00: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00224a10: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00224a20: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00224a30: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00224a40: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -00224a50: 6e73 7572 6520 7465 6c6e 6574 2069 7320  nsure telnet is 
│ │ │ -00224a60: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -00224a70: 653a 0a20 2020 206e 616d 653a 2074 656c  e:.    name: tel
│ │ │ -00224a80: 6e65 740a 2020 2020 7374 6174 653a 2061  net.    state: a
│ │ │ -00224a90: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00224aa0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -00224ab0: 2e31 2e31 330a 2020 2d20 5043 492d 4453  .1.13.  - PCI-DS
│ │ │ -00224ac0: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ -00224ad0: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ -00224ae0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -00224af0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00224b00: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00224b10: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ -00224b20: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00224b30: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00224b40: 2070 6163 6b61 6765 5f74 656c 6e65 745f   package_telnet_
│ │ │ -00224b50: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -00224b60: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00224b70: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00224b80: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00224b90: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00224ba0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ -00224bb0: 3438 3222 2074 6162 696e 6465 783d 2230  482" tabindex="0
│ │ │ -00224bc0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00224bd0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00224be0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00224bf0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00224c00: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00224c10: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -00224c20: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -00224c30: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00224c40: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00224c50: 7365 2220 6964 3d22 6964 6d32 3134 3832  se" id="idm21482
│ │ │ -00224c60: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00224c70: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00224c80: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00224c90: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00224ca0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00224cb0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00224cc0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00224cd0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00224ce0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00224cf0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00224d00: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00224d10: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00224d20: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00224d30: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00224d40: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00224d50: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -00224d60: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -00224d70: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -00224d80: 696c 6c20 7265 6d6f 7665 2074 656c 6e65  ill remove telne
│ │ │ -00224d90: 740a 2309 2020 2066 726f 6d20 7468 6520  t.#.   from the 
│ │ │ -00224da0: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ -00224db0: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ -00224dc0: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ -00224dd0: 7065 6e64 206f 6e20 7465 6c6e 6574 2e20  pend on telnet. 
│ │ │ -00224de0: 4578 6563 7574 6520 7468 6973 0a23 0920  Execute this.#. 
│ │ │ -00224df0: 2020 7265 6d65 6469 6174 696f 6e20 4146    remediation AF
│ │ │ -00224e00: 5445 5220 7465 7374 696e 6720 6f6e 2061  TER testing on a
│ │ │ -00224e10: 206e 6f6e 2d70 726f 6475 6374 696f 6e0a   non-production.
│ │ │ -00224e20: 2309 2020 2073 7973 7465 6d21 0a0a 4445  #.   system!..DE
│ │ │ -00224e30: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ -00224e40: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ -00224e50: 2d67 6574 2072 656d 6f76 6520 2d79 2022  -get remove -y "
│ │ │ -00224e60: 7465 6c6e 6574 220a 3c2f 636f 6465 3e3c  telnet".</code><
│ │ │ +00224690: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +002246a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +002246b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +002246c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +002246d0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +002246e0: 3438 3022 3e3c 7461 626c 6520 636c 6173  480"><table clas
│ │ │ +002246f0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00224700: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00224710: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00224720: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00224730: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00224740: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00224750: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00224760: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00224770: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00224780: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00224790: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +002247a0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +002247b0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +002247c0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +002247d0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +002247e0: 6e61 6d65 3a20 456e 7375 7265 2074 656c  name: Ensure tel
│ │ │ +002247f0: 6e65 7420 6973 2072 656d 6f76 6564 0a20  net is removed. 
│ │ │ +00224800: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00224810: 6d65 3a20 7465 6c6e 6574 0a20 2020 2073  me: telnet.    s
│ │ │ +00224820: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ +00224830: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00224840: 302d 3137 312d 332e 312e 3133 0a20 202d  0-171-3.1.13.  -
│ │ │ +00224850: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00224860: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00224870: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +00224880: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00224890: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +002248a0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +002248b0: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ +002248c0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +002248d0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +002248e0: 7465 6c6e 6574 5f72 656d 6f76 6564 0a3c  telnet_removed.<
│ │ │ +002248f0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00224900: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00224910: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00224920: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00224930: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00224940: 2223 6964 6d32 3134 3831 2220 7461 6269  "#idm21481" tabi
│ │ │ +00224950: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00224960: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00224970: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00224980: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00224990: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +002249a0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +002249b0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +002249c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +002249d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +002249e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +002249f0: 646d 3231 3438 3122 3e3c 7461 626c 6520  dm21481"><table 
│ │ │ +00224a00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00224a10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00224a20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00224a30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00224a40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00224a50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00224a60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00224a70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00224a80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00224a90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00224aa0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00224ab0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00224ac0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00224ad0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00224ae0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00224af0: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ +00224b00: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ +00224b10: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ +00224b20: 6520 7465 6c6e 6574 0a23 0920 2020 6672  e telnet.#.   fr
│ │ │ +00224b30: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +00224b40: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +00224b50: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +00224b60: 7468 6174 2064 6570 656e 6420 6f6e 2074  that depend on t
│ │ │ +00224b70: 656c 6e65 742e 2045 7865 6375 7465 2074  elnet. Execute t
│ │ │ +00224b80: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ +00224b90: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ +00224ba0: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ +00224bb0: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ +00224bc0: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ +00224bd0: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +00224be0: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ +00224bf0: 7665 202d 7920 2274 656c 6e65 7422 0a3c  ve -y "telnet".<
│ │ │ +00224c00: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00224c10: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00224c20: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00224c30: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00224c40: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00224c50: 2223 6964 6d32 3134 3832 2220 7461 6269  "#idm21482" tabi
│ │ │ +00224c60: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00224c70: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00224c80: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00224c90: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00224ca0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00224cb0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00224cc0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00224cd0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00224ce0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00224cf0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00224d00: 2269 646d 3231 3438 3222 3e3c 7461 626c  "idm21482"><tabl
│ │ │ +00224d10: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00224d20: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00224d30: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00224d40: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00224d50: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00224d60: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00224d70: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00224d80: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00224d90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00224da0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00224db0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00224dc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00224dd0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00224de0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00224df0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00224e00: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +00224e10: 7665 5f74 656c 6e65 740a 0a63 6c61 7373  ve_telnet..class
│ │ │ +00224e20: 2072 656d 6f76 655f 7465 6c6e 6574 207b   remove_telnet {
│ │ │ +00224e30: 0a20 2070 6163 6b61 6765 207b 2027 7465  .  package { 'te
│ │ │ +00224e40: 6c6e 6574 273a 0a20 2020 2065 6e73 7572  lnet':.    ensur
│ │ │ +00224e50: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +00224e60: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00224e70: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  00224e80: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00224e90: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00224ea0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00224eb0: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  00224ec0: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00224ed0: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -140855,146 +140855,146 @@
│ │ │  00226360: 7267 6574 3d22 2369 646d 3231 3539 3422  rget="#idm21594"
│ │ │  00226370: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00226380: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00226390: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  002263a0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  002263b0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  002263c0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -002263d0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -002263e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -002263f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00226400: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00226410: 2220 6964 3d22 6964 6d32 3135 3934 223e  " id="idm21594">
│ │ │ -00226420: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00226430: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00226440: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00226450: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00226460: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00226470: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00226480: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00226490: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -002264a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -002264b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -002264c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -002264d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -002264e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -002264f0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00226500: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00226510: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00226520: 2072 656d 6f76 655f 7466 7470 2d73 6572   remove_tftp-ser
│ │ │ -00226530: 7665 720a 0a63 6c61 7373 2072 656d 6f76  ver..class remov
│ │ │ -00226540: 655f 7466 7470 2d73 6572 7665 7220 7b0a  e_tftp-server {.
│ │ │ -00226550: 2020 7061 636b 6167 6520 7b20 2774 6674    package { 'tft
│ │ │ -00226560: 702d 7365 7276 6572 273a 0a20 2020 2065  p-server':.    e
│ │ │ -00226570: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -00226580: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -00226590: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -002265a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -002265b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -002265c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -002265d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -002265e0: 646d 3231 3539 3522 2074 6162 696e 6465  dm21595" tabinde
│ │ │ -002265f0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00226600: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00226610: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00226620: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00226630: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00226640: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00226650: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00226660: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00226670: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00226680: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00226690: 646d 3231 3539 3522 3e3c 7461 626c 6520  dm21595"><table 
│ │ │ -002266a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -002266b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -002266c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -002266d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -002266e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -002266f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00226700: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00226710: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00226720: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00226730: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00226740: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00226750: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00226760: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00226770: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00226780: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00226790: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -002267a0: 2074 6674 702d 7365 7276 6572 2069 7320   tftp-server is 
│ │ │ -002267b0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -002267c0: 653a 0a20 2020 206e 616d 653a 2074 6674  e:.    name: tft
│ │ │ -002267d0: 702d 7365 7276 6572 0a20 2020 2073 7461  p-server.    sta
│ │ │ -002267e0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -002267f0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00226800: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00226810: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00226820: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00226830: 3533 2d43 4d2d 3728 6229 0a20 202d 2050  53-CM-7(b).  - P
│ │ │ -00226840: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00226850: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00226860: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00226870: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ -00226880: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ -00226890: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -002268a0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -002268b0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -002268c0: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ -002268d0: 6674 702d 7365 7276 6572 5f72 656d 6f76  ftp-server_remov
│ │ │ -002268e0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -002268f0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00226900: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00226910: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00226920: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00226930: 6765 743d 2223 6964 6d32 3135 3936 2220  get="#idm21596" 
│ │ │ -00226940: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00226950: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00226960: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00226970: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00226980: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00226990: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -002269a0: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -002269b0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -002269c0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -002269d0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -002269e0: 643d 2269 646d 3231 3539 3622 3e3c 7461  d="idm21596"><ta
│ │ │ -002269f0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00226a00: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00226a10: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00226a20: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00226a30: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00226a40: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00226a50: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00226a60: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00226a70: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00226a80: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00226a90: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00226aa0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00226ab0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00226ac0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00226ad0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00226ae0: 3c63 6f64 653e 0a23 2043 4155 5449 4f4e  <code>.# CAUTION
│ │ │ -00226af0: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ -00226b00: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ -00226b10: 656d 6f76 6520 7466 7470 2d73 6572 7665  emove tftp-serve
│ │ │ -00226b20: 720a 2309 2020 2066 726f 6d20 7468 6520  r.#.   from the 
│ │ │ -00226b30: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ -00226b40: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ -00226b50: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ -00226b60: 7065 6e64 206f 6e20 7466 7470 2d73 6572  pend on tftp-ser
│ │ │ -00226b70: 7665 722e 2045 7865 6375 7465 2074 6869  ver. Execute thi
│ │ │ -00226b80: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ -00226b90: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ -00226ba0: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ -00226bb0: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ -00226bc0: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ -00226bd0: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -00226be0: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ -00226bf0: 202d 7920 2274 6674 702d 7365 7276 6572   -y "tftp-server
│ │ │ -00226c00: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +002263d0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +002263e0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +002263f0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00226400: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00226410: 6522 2069 643d 2269 646d 3231 3539 3422  e" id="idm21594"
│ │ │ +00226420: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00226430: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00226440: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00226450: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00226460: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00226470: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00226480: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00226490: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +002264a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +002264b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +002264c0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +002264d0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +002264e0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +002264f0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00226500: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00226510: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00226520: 3a20 456e 7375 7265 2074 6674 702d 7365  : Ensure tftp-se
│ │ │ +00226530: 7276 6572 2069 7320 7265 6d6f 7665 640a  rver is removed.
│ │ │ +00226540: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00226550: 616d 653a 2074 6674 702d 7365 7276 6572  ame: tftp-server
│ │ │ +00226560: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +00226570: 6e74 0a20 2074 6167 733a 0a20 202d 204e  nt.  tags:.  - N
│ │ │ +00226580: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00226590: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +002265a0: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ +002265b0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +002265c0: 6229 0a20 202d 2050 4349 2d44 5353 7634  b).  - PCI-DSSv4
│ │ │ +002265d0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +002265e0: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ +002265f0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00226600: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ +00226610: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00226620: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00226630: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ +00226640: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00226650: 6163 6b61 6765 5f74 6674 702d 7365 7276  ackage_tftp-serv
│ │ │ +00226660: 6572 5f72 656d 6f76 6564 0a3c 2f63 6f64  er_removed.</cod
│ │ │ +00226670: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00226680: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00226690: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +002266a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +002266b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +002266c0: 6d32 3135 3935 2220 7461 6269 6e64 6578  m21595" tabindex
│ │ │ +002266d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +002266e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +002266f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00226700: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00226710: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00226720: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +00226730: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +00226740: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00226750: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00226760: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +00226770: 3539 3522 3e3c 7461 626c 6520 636c 6173  595"><table clas
│ │ │ +00226780: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00226790: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +002267a0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +002267b0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +002267c0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +002267d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +002267e0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +002267f0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00226800: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00226810: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00226820: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00226830: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00226840: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00226850: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00226860: 6c65 3e3c 7072 653e 3c63 6f64 653e 0a23  le><pre><code>.#
│ │ │ +00226870: 2043 4155 5449 4f4e 3a20 5468 6973 2072   CAUTION: This r
│ │ │ +00226880: 656d 6564 6961 7469 6f6e 2073 6372 6970  emediation scrip
│ │ │ +00226890: 7420 7769 6c6c 2072 656d 6f76 6520 7466  t will remove tf
│ │ │ +002268a0: 7470 2d73 6572 7665 720a 2309 2020 2066  tp-server.#.   f
│ │ │ +002268b0: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ +002268c0: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ +002268d0: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ +002268e0: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ +002268f0: 7466 7470 2d73 6572 7665 722e 2045 7865  tftp-server. Exe
│ │ │ +00226900: 6375 7465 2074 6869 730a 2309 2020 2072  cute this.#.   r
│ │ │ +00226910: 656d 6564 6961 7469 6f6e 2041 4654 4552  emediation AFTER
│ │ │ +00226920: 2074 6573 7469 6e67 206f 6e20 6120 6e6f   testing on a no
│ │ │ +00226930: 6e2d 7072 6f64 7563 7469 6f6e 0a23 0920  n-production.#. 
│ │ │ +00226940: 2020 7379 7374 656d 210a 0a44 4542 4941    system!..DEBIA
│ │ │ +00226950: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +00226960: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +00226970: 7420 7265 6d6f 7665 202d 7920 2274 6674  t remove -y "tft
│ │ │ +00226980: 702d 7365 7276 6572 220a 3c2f 636f 6465  p-server".</code
│ │ │ +00226990: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +002269a0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +002269b0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +002269c0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +002269d0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +002269e0: 3231 3539 3622 2074 6162 696e 6465 783d  21596" tabindex=
│ │ │ +002269f0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00226a00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00226a10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00226a20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00226a30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00226a40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00226a50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00226a60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00226a70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00226a80: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +00226a90: 3135 3936 223e 3c74 6162 6c65 2063 6c61  1596"><table cla
│ │ │ +00226aa0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00226ab0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00226ac0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00226ad0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00226ae0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00226af0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00226b00: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00226b10: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00226b20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00226b30: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00226b40: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00226b50: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00226b60: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +00226b70: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00226b80: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00226b90: 6e63 6c75 6465 2072 656d 6f76 655f 7466  nclude remove_tf
│ │ │ +00226ba0: 7470 2d73 6572 7665 720a 0a63 6c61 7373  tp-server..class
│ │ │ +00226bb0: 2072 656d 6f76 655f 7466 7470 2d73 6572   remove_tftp-ser
│ │ │ +00226bc0: 7665 7220 7b0a 2020 7061 636b 6167 6520  ver {.  package 
│ │ │ +00226bd0: 7b20 2774 6674 702d 7365 7276 6572 273a  { 'tftp-server':
│ │ │ +00226be0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00226bf0: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +00226c00: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00226c10: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00226c20: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00226c30: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00226c40: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  00226c50: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00226c60: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  00226c70: 5f70 6163 6b61 6765 5f74 6674 705f 7265  _package_tftp_re
│ │ │ @@ -141154,137 +141154,137 @@
│ │ │  00227610: 6574 3d22 2369 646d 3231 3631 3222 2074  et="#idm21612" t
│ │ │  00227620: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00227630: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00227640: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00227650: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00227660: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00227670: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00227680: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00227690: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -002276a0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -002276b0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -002276c0: 6964 3d22 6964 6d32 3136 3132 223e 3c74  id="idm21612"><t
│ │ │ -002276d0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -002276e0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -002276f0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00227700: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00227710: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00227720: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00227730: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00227740: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00227750: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00227760: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00227770: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00227780: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00227790: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -002277a0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -002277b0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -002277c0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -002277d0: 656d 6f76 655f 7466 7470 0a0a 636c 6173  emove_tftp..clas
│ │ │ -002277e0: 7320 7265 6d6f 7665 5f74 6674 7020 7b0a  s remove_tftp {.
│ │ │ -002277f0: 2020 7061 636b 6167 6520 7b20 2774 6674    package { 'tft
│ │ │ -00227800: 7027 3a0a 2020 2020 656e 7375 7265 203d  p':.    ensure =
│ │ │ -00227810: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00227820: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00227830: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00227840: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00227850: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00227860: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00227870: 6172 6765 743d 2223 6964 6d32 3136 3133  arget="#idm21613
│ │ │ -00227880: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00227890: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -002278a0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -002278b0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -002278c0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -002278d0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -002278e0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -002278f0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00227900: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00227910: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00227920: 7365 2220 6964 3d22 6964 6d32 3136 3133  se" id="idm21613
│ │ │ -00227930: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00227940: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00227950: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00227960: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00227970: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00227980: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00227990: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -002279a0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -002279b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -002279c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -002279d0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -002279e0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -002279f0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00227a00: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00227a10: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00227a20: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00227a30: 653a 2045 6e73 7572 6520 7466 7470 2069  e: Ensure tftp i
│ │ │ -00227a40: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00227a50: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ -00227a60: 6674 700a 2020 2020 7374 6174 653a 2061  ftp.    state: a
│ │ │ -00227a70: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00227a80: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00227a90: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00227aa0: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ -00227ab0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00227ac0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00227ad0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00227ae0: 202d 206c 6f77 5f73 6576 6572 6974 790a   - low_severity.
│ │ │ -00227af0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00227b00: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00227b10: 5f74 6674 705f 7265 6d6f 7665 640a 3c2f  _tftp_removed.</
│ │ │ -00227b20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00227b30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00227b40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00227b50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00227b60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00227b70: 2369 646d 3231 3631 3422 2074 6162 696e  #idm21614" tabin
│ │ │ -00227b80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00227b90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00227ba0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00227bb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00227bc0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00227bd0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -00227be0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -00227bf0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00227c00: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00227c10: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00227c20: 6d32 3136 3134 223e 3c74 6162 6c65 2063  m21614"><table c
│ │ │ -00227c30: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00227c40: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00227c50: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00227c60: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00227c70: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00227c80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00227c90: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00227ca0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00227cb0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00227cc0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00227cd0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00227ce0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00227cf0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00227d00: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00227d10: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00227d20: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -00227d30: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -00227d40: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -00227d50: 2074 6674 700a 2309 2020 2066 726f 6d20   tftp.#.   from 
│ │ │ -00227d60: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -00227d70: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -00227d80: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -00227d90: 7420 6465 7065 6e64 206f 6e20 7466 7470  t depend on tftp
│ │ │ -00227da0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00227db0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00227dc0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00227dd0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00227de0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -00227df0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -00227e00: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -00227e10: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -00227e20: 2022 7466 7470 220a 3c2f 636f 6465 3e3c   "tftp".</code><
│ │ │ +00227680: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00227690: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +002276a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +002276b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +002276c0: 2069 643d 2269 646d 3231 3631 3222 3e3c   id="idm21612"><
│ │ │ +002276d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +002276e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +002276f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00227700: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00227710: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00227720: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00227730: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00227740: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00227750: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00227760: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00227770: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00227780: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00227790: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +002277a0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +002277b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +002277c0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +002277d0: 456e 7375 7265 2074 6674 7020 6973 2072  Ensure tftp is r
│ │ │ +002277e0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ +002277f0: 3a0a 2020 2020 6e61 6d65 3a20 7466 7470  :.    name: tftp
│ │ │ +00227800: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +00227810: 6e74 0a20 2074 6167 733a 0a20 202d 2050  nt.  tags:.  - P
│ │ │ +00227820: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +00227830: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ +00227840: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00227850: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00227860: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00227870: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00227880: 6c6f 775f 7365 7665 7269 7479 0a20 202d  low_severity.  -
│ │ │ +00227890: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +002278a0: 640a 2020 2d20 7061 636b 6167 655f 7466  d.  - package_tf
│ │ │ +002278b0: 7470 5f72 656d 6f76 6564 0a3c 2f63 6f64  tp_removed.</cod
│ │ │ +002278c0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +002278d0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +002278e0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +002278f0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00227900: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00227910: 6d32 3136 3133 2220 7461 6269 6e64 6578  m21613" tabindex
│ │ │ +00227920: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00227930: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00227940: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00227950: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00227960: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00227970: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +00227980: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +00227990: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +002279a0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +002279b0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +002279c0: 3631 3322 3e3c 7461 626c 6520 636c 6173  613"><table clas
│ │ │ +002279d0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +002279e0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +002279f0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00227a00: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00227a10: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00227a20: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00227a30: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00227a40: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00227a50: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00227a60: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00227a70: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00227a80: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00227a90: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00227aa0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00227ab0: 6c65 3e3c 7072 653e 3c63 6f64 653e 0a23  le><pre><code>.#
│ │ │ +00227ac0: 2043 4155 5449 4f4e 3a20 5468 6973 2072   CAUTION: This r
│ │ │ +00227ad0: 656d 6564 6961 7469 6f6e 2073 6372 6970  emediation scrip
│ │ │ +00227ae0: 7420 7769 6c6c 2072 656d 6f76 6520 7466  t will remove tf
│ │ │ +00227af0: 7470 0a23 0920 2020 6672 6f6d 2074 6865  tp.#.   from the
│ │ │ +00227b00: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +00227b10: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +00227b20: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +00227b30: 6570 656e 6420 6f6e 2074 6674 702e 2045  epend on tftp. E
│ │ │ +00227b40: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ +00227b50: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ +00227b60: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ +00227b70: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ +00227b80: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ +00227b90: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +00227ba0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +00227bb0: 6765 7420 7265 6d6f 7665 202d 7920 2274  get remove -y "t
│ │ │ +00227bc0: 6674 7022 0a3c 2f63 6f64 653e 3c2f 7072  ftp".</code></pr
│ │ │ +00227bd0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00227be0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00227bf0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00227c00: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00227c10: 6172 6765 743d 2223 6964 6d32 3136 3134  arget="#idm21614
│ │ │ +00227c20: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00227c30: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00227c40: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00227c50: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00227c60: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00227c70: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00227c80: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00227c90: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00227ca0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00227cb0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00227cc0: 6522 2069 643d 2269 646d 3231 3631 3422  e" id="idm21614"
│ │ │ +00227cd0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00227ce0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00227cf0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00227d00: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00227d10: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00227d20: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00227d30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00227d40: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00227d50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00227d60: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00227d70: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00227d80: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00227d90: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00227da0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00227db0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00227dc0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00227dd0: 6520 7265 6d6f 7665 5f74 6674 700a 0a63  e remove_tftp..c
│ │ │ +00227de0: 6c61 7373 2072 656d 6f76 655f 7466 7470  lass remove_tftp
│ │ │ +00227df0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00227e00: 7466 7470 273a 0a20 2020 2065 6e73 7572  tftp':.    ensur
│ │ │ +00227e10: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +00227e20: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00227e30: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  00227e40: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00227e50: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00227e60: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00227e70: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  00227e80: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00227e90: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -144605,216 +144605,216 @@
│ │ │  00234dc0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00234dd0: 2369 646d 3232 3232 3322 2074 6162 696e  #idm22223" tabin
│ │ │  00234de0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00234df0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00234e00: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00234e10: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00234e20: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00234e30: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00234e40: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00234e50: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00234e60: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00234e70: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00234e80: 6964 6d32 3232 3233 223e 3c70 7265 3e3c  idm22223"><pre><
│ │ │ -00234e90: 636f 6465 3e69 6e63 6c75 6465 2073 7368  code>include ssh
│ │ │ -00234ea0: 5f70 7269 7661 7465 5f6b 6579 5f70 6572  _private_key_per
│ │ │ -00234eb0: 6d73 0a0a 636c 6173 7320 7373 685f 7072  ms..class ssh_pr
│ │ │ -00234ec0: 6976 6174 655f 6b65 795f 7065 726d 7320  ivate_key_perms 
│ │ │ -00234ed0: 7b0a 2020 6578 6563 207b 2027 7373 6864  {.  exec { 'sshd
│ │ │ -00234ee0: 5f70 7269 765f 6b65 7927 3a0a 2020 2020  _priv_key':.    
│ │ │ -00234ef0: 636f 6d6d 616e 6420 3d26 6774 3b20 2263  command =&gt; "c
│ │ │ -00234f00: 686d 6f64 2030 3634 3020 2f65 7463 2f73  hmod 0640 /etc/s
│ │ │ -00234f10: 7368 2f2a 5f6b 6579 222c 0a20 2020 2070  sh/*_key",.    p
│ │ │ -00234f20: 6174 6820 2020 203d 2667 743b 2027 2f62  ath    =&gt; '/b
│ │ │ -00234f30: 696e 3a2f 7573 722f 6269 6e27 0a20 207d  in:/usr/bin'.  }
│ │ │ -00234f40: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -00234f50: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00234f60: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00234f70: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00234f80: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00234f90: 6765 743d 2223 6964 6d32 3232 3234 2220  get="#idm22224" 
│ │ │ -00234fa0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00234fb0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00234fc0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00234fd0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00234fe0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00234ff0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00235000: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00235010: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00235020: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00235030: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00235040: 2220 6964 3d22 6964 6d32 3232 3234 223e  " id="idm22224">
│ │ │ -00235050: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00235060: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00235070: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00235080: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00235090: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -002350a0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -002350b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -002350c0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -002350d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -002350e0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -002350f0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00235100: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00235110: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00235120: 3e3c 7464 3e63 6f6e 6669 6775 7265 3c2f  ><td>configure</
│ │ │ -00235130: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00235140: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00235150: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -00235160: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -00235170: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00235180: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -00235190: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -002351a0: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ -002351b0: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -002351c0: 332e 3133 2e31 300a 2020 2d20 4e49 5354  3.13.10.  - NIST
│ │ │ -002351d0: 2d38 3030 2d35 332d 4143 2d31 3728 6129  -800-53-AC-17(a)
│ │ │ -002351e0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -002351f0: 2d41 432d 3628 3129 0a20 202d 204e 4953  -AC-6(1).  - NIS
│ │ │ -00235200: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00235210: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -00235220: 2d32 2e32 2e34 0a20 202d 2050 4349 2d44  -2.2.4.  - PCI-D
│ │ │ -00235230: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -00235240: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ -00235250: 2063 6f6e 6669 6775 7265 5f73 7472 6174   configure_strat
│ │ │ -00235260: 6567 790a 2020 2d20 6669 6c65 5f70 6572  egy.  - file_per
│ │ │ -00235270: 6d69 7373 696f 6e73 5f73 7368 645f 7072  missions_sshd_pr
│ │ │ -00235280: 6976 6174 655f 6b65 790a 2020 2d20 6c6f  ivate_key.  - lo
│ │ │ -00235290: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -002352a0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -002352b0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -002352c0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -002352d0: 745f 6e65 6564 6564 0a0a 2d20 6e61 6d65  t_needed..- name
│ │ │ -002352e0: 3a20 4669 6e64 2072 6f6f 743a 726f 6f74  : Find root:root
│ │ │ -002352f0: 2d6f 776e 6564 206b 6579 730a 2020 616e  -owned keys.  an
│ │ │ -00235300: 7369 626c 652e 6275 696c 7469 6e2e 636f  sible.builtin.co
│ │ │ -00235310: 6d6d 616e 643a 2066 696e 6420 2d48 202f  mmand: find -H /
│ │ │ -00235320: 6574 632f 7373 682f 202d 6d61 7864 6570  etc/ssh/ -maxdep
│ │ │ -00235330: 7468 2031 202d 7573 6572 2072 6f6f 7420  th 1 -user root 
│ │ │ -00235340: 2d72 6567 6578 2022 2e2a 5f6b 6579 2422  -regex ".*_key$"
│ │ │ -00235350: 0a20 2020 202d 7479 7065 2066 202d 6772  .    -type f -gr
│ │ │ -00235360: 6f75 7020 726f 6f74 202d 7065 726d 202f  oup root -perm /
│ │ │ -00235370: 752b 7873 2c67 2b78 7772 732c 6f2b 7877  u+xs,g+xwrs,o+xw
│ │ │ -00235380: 7274 0a20 2072 6567 6973 7465 723a 2072  rt.  register: r
│ │ │ -00235390: 6f6f 745f 6f77 6e65 645f 6b65 7973 0a20  oot_owned_keys. 
│ │ │ -002353a0: 2063 6861 6e67 6564 5f77 6865 6e3a 2066   changed_when: f
│ │ │ -002353b0: 616c 7365 0a20 2066 6169 6c65 645f 7768  alse.  failed_wh
│ │ │ -002353c0: 656e 3a20 6661 6c73 650a 2020 6368 6563  en: false.  chec
│ │ │ -002353d0: 6b5f 6d6f 6465 3a20 6661 6c73 650a 2020  k_mode: false.  
│ │ │ -002353e0: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -002353f0: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00235400: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00235410: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00235420: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ -00235430: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -00235440: 332e 3133 2e31 300a 2020 2d20 4e49 5354  3.13.10.  - NIST
│ │ │ -00235450: 2d38 3030 2d35 332d 4143 2d31 3728 6129  -800-53-AC-17(a)
│ │ │ -00235460: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00235470: 2d41 432d 3628 3129 0a20 202d 204e 4953  -AC-6(1).  - NIS
│ │ │ -00235480: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00235490: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -002354a0: 2d32 2e32 2e34 0a20 202d 2050 4349 2d44  -2.2.4.  - PCI-D
│ │ │ -002354b0: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -002354c0: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ -002354d0: 2063 6f6e 6669 6775 7265 5f73 7472 6174   configure_strat
│ │ │ -002354e0: 6567 790a 2020 2d20 6669 6c65 5f70 6572  egy.  - file_per
│ │ │ -002354f0: 6d69 7373 696f 6e73 5f73 7368 645f 7072  missions_sshd_pr
│ │ │ -00235500: 6976 6174 655f 6b65 790a 2020 2d20 6c6f  ivate_key.  - lo
│ │ │ -00235510: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00235520: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00235530: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00235540: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00235550: 745f 6e65 6564 6564 0a0a 2d20 6e61 6d65  t_needed..- name
│ │ │ -00235560: 3a20 5365 7420 7065 726d 6973 7369 6f6e  : Set permission
│ │ │ -00235570: 7320 666f 7220 726f 6f74 3a72 6f6f 742d  s for root:root-
│ │ │ -00235580: 6f77 6e65 6420 6b65 7973 0a20 2061 6e73  owned keys.  ans
│ │ │ -00235590: 6962 6c65 2e62 7569 6c74 696e 2e66 696c  ible.builtin.fil
│ │ │ -002355a0: 653a 0a20 2020 2070 6174 683a 2027 7b7b  e:.    path: '{{
│ │ │ -002355b0: 2069 7465 6d20 7d7d 270a 2020 2020 6d6f   item }}'.    mo
│ │ │ -002355c0: 6465 3a20 752d 7873 2c67 2d78 7772 732c  de: u-xs,g-xwrs,
│ │ │ -002355d0: 6f2d 7877 7274 0a20 2020 2073 7461 7465  o-xwrt.    state
│ │ │ -002355e0: 3a20 6669 6c65 0a20 2077 6974 685f 6974  : file.  with_it
│ │ │ -002355f0: 656d 733a 0a20 202d 2027 7b7b 2072 6f6f  ems:.  - '{{ roo
│ │ │ -00235600: 745f 6f77 6e65 645f 6b65 7973 2e73 7464  t_owned_keys.std
│ │ │ -00235610: 6f75 745f 6c69 6e65 7320 7d7d 270a 2020  out_lines }}'.  
│ │ │ -00235620: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -00235630: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00235640: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00235650: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00235660: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ -00235670: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -00235680: 332e 3133 2e31 300a 2020 2d20 4e49 5354  3.13.10.  - NIST
│ │ │ -00235690: 2d38 3030 2d35 332d 4143 2d31 3728 6129  -800-53-AC-17(a)
│ │ │ -002356a0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -002356b0: 2d41 432d 3628 3129 0a20 202d 204e 4953  -AC-6(1).  - NIS
│ │ │ -002356c0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -002356d0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -002356e0: 2d32 2e32 2e34 0a20 202d 2050 4349 2d44  -2.2.4.  - PCI-D
│ │ │ -002356f0: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -00235700: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ -00235710: 2063 6f6e 6669 6775 7265 5f73 7472 6174   configure_strat
│ │ │ -00235720: 6567 790a 2020 2d20 6669 6c65 5f70 6572  egy.  - file_per
│ │ │ -00235730: 6d69 7373 696f 6e73 5f73 7368 645f 7072  missions_sshd_pr
│ │ │ -00235740: 6976 6174 655f 6b65 790a 2020 2d20 6c6f  ivate_key.  - lo
│ │ │ -00235750: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00235760: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00235770: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00235780: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00235790: 745f 6e65 6564 6564 0a3c 2f63 6f64 653e  t_needed.</code>
│ │ │ -002357a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -002357b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -002357c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -002357d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -002357e0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -002357f0: 3232 3235 2220 7461 6269 6e64 6578 3d22  2225" tabindex="
│ │ │ -00235800: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00235810: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00235820: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00235830: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00235840: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00235850: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00235860: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00235870: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00235880: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00235890: 7073 6522 2069 643d 2269 646d 3232 3232  pse" id="idm2222
│ │ │ -002358a0: 3522 3e3c 7072 653e 3c63 6f64 653e 2320  5"><pre><code># 
│ │ │ -002358b0: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ -002358c0: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ -002358d0: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ -002358e0: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ -002358f0: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ -00235900: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ -00235910: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ -00235920: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ -00235930: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ -00235940: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ -00235950: 6865 6e0a 0a66 6f72 206b 6579 6669 6c65  hen..for keyfile
│ │ │ -00235960: 2069 6e20 2f65 7463 2f73 7368 2f2a 5f6b   in /etc/ssh/*_k
│ │ │ -00235970: 6579 3b20 646f 0a20 2020 2074 6573 7420  ey; do.    test 
│ │ │ -00235980: 2d66 2022 246b 6579 6669 6c65 2220 7c7c  -f "$keyfile" ||
│ │ │ -00235990: 2063 6f6e 7469 6e75 650a 2020 2020 6966   continue.    if
│ │ │ -002359a0: 2074 6573 7420 726f 6f74 3a72 6f6f 7420   test root:root 
│ │ │ -002359b0: 3d20 2224 2873 7461 7420 2d63 2022 2555  = "$(stat -c "%U
│ │ │ -002359c0: 3a25 4722 2022 246b 6579 6669 6c65 2229  :%G" "$keyfile")
│ │ │ -002359d0: 223b 2074 6865 6e0a 2020 2020 0a09 6368  "; then.    ..ch
│ │ │ -002359e0: 6d6f 6420 752d 7873 2c67 2d78 7772 732c  mod u-xs,g-xwrs,
│ │ │ -002359f0: 6f2d 7877 7274 2022 246b 6579 6669 6c65  o-xwrt "$keyfile
│ │ │ -00235a00: 220a 2020 2020 0a20 2020 200a 2020 2020  ".    .    .    
│ │ │ -00235a10: 656c 7365 0a20 2020 2020 2020 2065 6368  else.        ech
│ │ │ -00235a20: 6f20 224b 6579 2d6c 696b 6520 6669 6c65  o "Key-like file
│ │ │ -00235a30: 2027 246b 6579 6669 6c65 2720 6973 206f   '$keyfile' is o
│ │ │ -00235a40: 776e 6564 2062 7920 616e 2075 6e65 7870  wned by an unexp
│ │ │ -00235a50: 6563 7465 6420 7573 6572 3a67 726f 7570  ected user:group
│ │ │ -00235a60: 2063 6f6d 6269 6e61 7469 6f6e 220a 2020   combination".  
│ │ │ -00235a70: 2020 6669 0a64 6f6e 650a 0a65 6c73 650a    fi.done..else.
│ │ │ -00235a80: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -00235a90: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -00235aa0: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -00235ab0: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -00235ac0: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +00234e30: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00234e40: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00234e50: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00234e60: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00234e70: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00234e80: 2269 646d 3232 3232 3322 3e3c 7461 626c  "idm22223"><tabl
│ │ │ +00234e90: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00234ea0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00234eb0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00234ec0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00234ed0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00234ee0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00234ef0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00234f00: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00234f10: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00234f20: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00234f30: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00234f40: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00234f50: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00234f60: 636f 6e66 6967 7572 653c 2f74 643e 3c2f  configure</td></
│ │ │ +00234f70: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00234f80: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +00234f90: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +00234fa0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +00234fb0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +00234fc0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +00234fd0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ +00234fe0: 3731 2d33 2e31 2e31 330a 2020 2d20 4e49  71-3.1.13.  - NI
│ │ │ +00234ff0: 5354 2d38 3030 2d31 3731 2d33 2e31 332e  ST-800-171-3.13.
│ │ │ +00235000: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ +00235010: 3533 2d41 432d 3137 2861 290a 2020 2d20  53-AC-17(a).  - 
│ │ │ +00235020: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00235030: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00235040: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00235050: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ +00235060: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ +00235070: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +00235080: 342d 322e 322e 360a 2020 2d20 636f 6e66  4-2.2.6.  - conf
│ │ │ +00235090: 6967 7572 655f 7374 7261 7465 6779 0a20  igure_strategy. 
│ │ │ +002350a0: 202d 2066 696c 655f 7065 726d 6973 7369   - file_permissi
│ │ │ +002350b0: 6f6e 735f 7373 6864 5f70 7269 7661 7465  ons_sshd_private
│ │ │ +002350c0: 5f6b 6579 0a20 202d 206c 6f77 5f63 6f6d  _key.  - low_com
│ │ │ +002350d0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +002350e0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +002350f0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00235100: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00235110: 6465 640a 0a2d 206e 616d 653a 2046 696e  ded..- name: Fin
│ │ │ +00235120: 6420 726f 6f74 3a72 6f6f 742d 6f77 6e65  d root:root-owne
│ │ │ +00235130: 6420 6b65 7973 0a20 2061 6e73 6962 6c65  d keys.  ansible
│ │ │ +00235140: 2e62 7569 6c74 696e 2e63 6f6d 6d61 6e64  .builtin.command
│ │ │ +00235150: 3a20 6669 6e64 202d 4820 2f65 7463 2f73  : find -H /etc/s
│ │ │ +00235160: 7368 2f20 2d6d 6178 6465 7074 6820 3120  sh/ -maxdepth 1 
│ │ │ +00235170: 2d75 7365 7220 726f 6f74 202d 7265 6765  -user root -rege
│ │ │ +00235180: 7820 222e 2a5f 6b65 7924 220a 2020 2020  x ".*_key$".    
│ │ │ +00235190: 2d74 7970 6520 6620 2d67 726f 7570 2072  -type f -group r
│ │ │ +002351a0: 6f6f 7420 2d70 6572 6d20 2f75 2b78 732c  oot -perm /u+xs,
│ │ │ +002351b0: 672b 7877 7273 2c6f 2b78 7772 740a 2020  g+xwrs,o+xwrt.  
│ │ │ +002351c0: 7265 6769 7374 6572 3a20 726f 6f74 5f6f  register: root_o
│ │ │ +002351d0: 776e 6564 5f6b 6579 730a 2020 6368 616e  wned_keys.  chan
│ │ │ +002351e0: 6765 645f 7768 656e 3a20 6661 6c73 650a  ged_when: false.
│ │ │ +002351f0: 2020 6661 696c 6564 5f77 6865 6e3a 2066    failed_when: f
│ │ │ +00235200: 616c 7365 0a20 2063 6865 636b 5f6d 6f64  alse.  check_mod
│ │ │ +00235210: 653a 2066 616c 7365 0a20 2077 6865 6e3a  e: false.  when:
│ │ │ +00235220: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +00235230: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00235240: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00235250: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ +00235260: 3731 2d33 2e31 2e31 330a 2020 2d20 4e49  71-3.1.13.  - NI
│ │ │ +00235270: 5354 2d38 3030 2d31 3731 2d33 2e31 332e  ST-800-171-3.13.
│ │ │ +00235280: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ +00235290: 3533 2d41 432d 3137 2861 290a 2020 2d20  53-AC-17(a).  - 
│ │ │ +002352a0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +002352b0: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +002352c0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +002352d0: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ +002352e0: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ +002352f0: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +00235300: 342d 322e 322e 360a 2020 2d20 636f 6e66  4-2.2.6.  - conf
│ │ │ +00235310: 6967 7572 655f 7374 7261 7465 6779 0a20  igure_strategy. 
│ │ │ +00235320: 202d 2066 696c 655f 7065 726d 6973 7369   - file_permissi
│ │ │ +00235330: 6f6e 735f 7373 6864 5f70 7269 7661 7465  ons_sshd_private
│ │ │ +00235340: 5f6b 6579 0a20 202d 206c 6f77 5f63 6f6d  _key.  - low_com
│ │ │ +00235350: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00235360: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00235370: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00235380: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00235390: 6465 640a 0a2d 206e 616d 653a 2053 6574  ded..- name: Set
│ │ │ +002353a0: 2070 6572 6d69 7373 696f 6e73 2066 6f72   permissions for
│ │ │ +002353b0: 2072 6f6f 743a 726f 6f74 2d6f 776e 6564   root:root-owned
│ │ │ +002353c0: 206b 6579 730a 2020 616e 7369 626c 652e   keys.  ansible.
│ │ │ +002353d0: 6275 696c 7469 6e2e 6669 6c65 3a0a 2020  builtin.file:.  
│ │ │ +002353e0: 2020 7061 7468 3a20 277b 7b20 6974 656d    path: '{{ item
│ │ │ +002353f0: 207d 7d27 0a20 2020 206d 6f64 653a 2075   }}'.    mode: u
│ │ │ +00235400: 2d78 732c 672d 7877 7273 2c6f 2d78 7772  -xs,g-xwrs,o-xwr
│ │ │ +00235410: 740a 2020 2020 7374 6174 653a 2066 696c  t.    state: fil
│ │ │ +00235420: 650a 2020 7769 7468 5f69 7465 6d73 3a0a  e.  with_items:.
│ │ │ +00235430: 2020 2d20 277b 7b20 726f 6f74 5f6f 776e    - '{{ root_own
│ │ │ +00235440: 6564 5f6b 6579 732e 7374 646f 7574 5f6c  ed_keys.stdout_l
│ │ │ +00235450: 696e 6573 207d 7d27 0a20 2077 6865 6e3a  ines }}'.  when:
│ │ │ +00235460: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +00235470: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00235480: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00235490: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ +002354a0: 3731 2d33 2e31 2e31 330a 2020 2d20 4e49  71-3.1.13.  - NI
│ │ │ +002354b0: 5354 2d38 3030 2d31 3731 2d33 2e31 332e  ST-800-171-3.13.
│ │ │ +002354c0: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ +002354d0: 3533 2d41 432d 3137 2861 290a 2020 2d20  53-AC-17(a).  - 
│ │ │ +002354e0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +002354f0: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00235500: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00235510: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ +00235520: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ +00235530: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +00235540: 342d 322e 322e 360a 2020 2d20 636f 6e66  4-2.2.6.  - conf
│ │ │ +00235550: 6967 7572 655f 7374 7261 7465 6779 0a20  igure_strategy. 
│ │ │ +00235560: 202d 2066 696c 655f 7065 726d 6973 7369   - file_permissi
│ │ │ +00235570: 6f6e 735f 7373 6864 5f70 7269 7661 7465  ons_sshd_private
│ │ │ +00235580: 5f6b 6579 0a20 202d 206c 6f77 5f63 6f6d  _key.  - low_com
│ │ │ +00235590: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +002355a0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +002355b0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +002355c0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +002355d0: 6465 640a 3c2f 636f 6465 3e3c 2f70 7265  ded.</code></pre
│ │ │ +002355e0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +002355f0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00235600: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00235610: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00235620: 7267 6574 3d22 2369 646d 3232 3232 3422  rget="#idm22224"
│ │ │ +00235630: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00235640: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00235650: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00235660: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00235670: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00235680: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00235690: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +002356a0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +002356b0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +002356c0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +002356d0: 6964 3d22 6964 6d32 3232 3234 223e 3c70  id="idm22224"><p
│ │ │ +002356e0: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ +002356f0: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ +00235700: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ +00235710: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ +00235720: 6620 6470 6b67 2d71 7565 7279 202d 2d73  f dpkg-query --s
│ │ │ +00235730: 686f 7720 2d2d 7368 6f77 666f 726d 6174  how --showformat
│ │ │ +00235740: 3d27 247b 6462 3a53 7461 7475 732d 5374  ='${db:Status-St
│ │ │ +00235750: 6174 7573 7d0a 2720 276c 696e 7578 2d62  atus}.' 'linux-b
│ │ │ +00235760: 6173 6527 2032 2667 743b 2f64 6576 2f6e  ase' 2&gt;/dev/n
│ │ │ +00235770: 756c 6c20 7c20 6772 6570 202d 7120 5e69  ull | grep -q ^i
│ │ │ +00235780: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a  nstalled; then..
│ │ │ +00235790: 666f 7220 6b65 7966 696c 6520 696e 202f  for keyfile in /
│ │ │ +002357a0: 6574 632f 7373 682f 2a5f 6b65 793b 2064  etc/ssh/*_key; d
│ │ │ +002357b0: 6f0a 2020 2020 7465 7374 202d 6620 2224  o.    test -f "$
│ │ │ +002357c0: 6b65 7966 696c 6522 207c 7c20 636f 6e74  keyfile" || cont
│ │ │ +002357d0: 696e 7565 0a20 2020 2069 6620 7465 7374  inue.    if test
│ │ │ +002357e0: 2072 6f6f 743a 726f 6f74 203d 2022 2428   root:root = "$(
│ │ │ +002357f0: 7374 6174 202d 6320 2225 553a 2547 2220  stat -c "%U:%G" 
│ │ │ +00235800: 2224 6b65 7966 696c 6522 2922 3b20 7468  "$keyfile")"; th
│ │ │ +00235810: 656e 0a20 2020 200a 0963 686d 6f64 2075  en.    ..chmod u
│ │ │ +00235820: 2d78 732c 672d 7877 7273 2c6f 2d78 7772  -xs,g-xwrs,o-xwr
│ │ │ +00235830: 7420 2224 6b65 7966 696c 6522 0a20 2020  t "$keyfile".   
│ │ │ +00235840: 200a 2020 2020 0a20 2020 2065 6c73 650a   .    .    else.
│ │ │ +00235850: 2020 2020 2020 2020 6563 686f 2022 4b65          echo "Ke
│ │ │ +00235860: 792d 6c69 6b65 2066 696c 6520 2724 6b65  y-like file '$ke
│ │ │ +00235870: 7966 696c 6527 2069 7320 6f77 6e65 6420  yfile' is owned 
│ │ │ +00235880: 6279 2061 6e20 756e 6578 7065 6374 6564  by an unexpected
│ │ │ +00235890: 2075 7365 723a 6772 6f75 7020 636f 6d62   user:group comb
│ │ │ +002358a0: 696e 6174 696f 6e22 0a20 2020 2066 690a  ination".    fi.
│ │ │ +002358b0: 646f 6e65 0a0a 656c 7365 0a20 2020 2026  done..else.    &
│ │ │ +002358c0: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ +002358d0: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ +002358e0: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ +002358f0: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ +00235900: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +00235910: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00235920: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00235930: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00235940: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00235950: 7267 6574 3d22 2369 646d 3232 3232 3522  rget="#idm22225"
│ │ │ +00235960: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00235970: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00235980: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00235990: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +002359a0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +002359b0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +002359c0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +002359d0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +002359e0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +002359f0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00235a00: 2220 6964 3d22 6964 6d32 3232 3235 223e  " id="idm22225">
│ │ │ +00235a10: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00235a20: 6465 2073 7368 5f70 7269 7661 7465 5f6b  de ssh_private_k
│ │ │ +00235a30: 6579 5f70 6572 6d73 0a0a 636c 6173 7320  ey_perms..class 
│ │ │ +00235a40: 7373 685f 7072 6976 6174 655f 6b65 795f  ssh_private_key_
│ │ │ +00235a50: 7065 726d 7320 7b0a 2020 6578 6563 207b  perms {.  exec {
│ │ │ +00235a60: 2027 7373 6864 5f70 7269 765f 6b65 7927   'sshd_priv_key'
│ │ │ +00235a70: 3a0a 2020 2020 636f 6d6d 616e 6420 3d26  :.    command =&
│ │ │ +00235a80: 6774 3b20 2263 686d 6f64 2030 3634 3020  gt; "chmod 0640 
│ │ │ +00235a90: 2f65 7463 2f73 7368 2f2a 5f6b 6579 222c  /etc/ssh/*_key",
│ │ │ +00235aa0: 0a20 2020 2070 6174 6820 2020 203d 2667  .    path    =&g
│ │ │ +00235ab0: 743b 2027 2f62 696e 3a2f 7573 722f 6269  t; '/bin:/usr/bi
│ │ │ +00235ac0: 6e27 0a20 207d 0a7d 0a3c 2f63 6f64 653e  n'.  }.}.</code>
│ │ │  00235ad0: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00235ae0: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00235af0: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00235b00: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00235b10: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  00235b20: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  00235b30: 6e74 5f72 756c 655f 6669 6c65 5f70 6572  nt_rule_file_per
│ │ │ @@ -145082,218 +145082,218 @@
│ │ │  00236b90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00236ba0: 2223 6964 6d32 3232 3937 2220 7461 6269  "#idm22297" tabi
│ │ │  00236bb0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00236bc0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  00236bd0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  00236be0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  00236bf0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00236c00: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00236c10: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00236c20: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00236c30: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00236c40: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00236c50: 2269 646d 3232 3239 3722 3e3c 7072 653e  "idm22297"><pre>
│ │ │ -00236c60: 3c63 6f64 653e 696e 636c 7564 6520 7373  <code>include ss
│ │ │ -00236c70: 685f 7075 626c 6963 5f6b 6579 5f70 6572  h_public_key_per
│ │ │ -00236c80: 6d73 0a0a 636c 6173 7320 7373 685f 7075  ms..class ssh_pu
│ │ │ -00236c90: 626c 6963 5f6b 6579 5f70 6572 6d73 207b  blic_key_perms {
│ │ │ -00236ca0: 0a20 2065 7865 6320 7b20 2773 7368 645f  .  exec { 'sshd_
│ │ │ -00236cb0: 7075 625f 6b65 7927 3a0a 2020 2020 636f  pub_key':.    co
│ │ │ -00236cc0: 6d6d 616e 6420 3d26 6774 3b20 2263 686d  mmand =&gt; "chm
│ │ │ -00236cd0: 6f64 2030 3634 3420 2f65 7463 2f73 7368  od 0644 /etc/ssh
│ │ │ -00236ce0: 2f2a 2e70 7562 222c 0a20 2020 2070 6174  /*.pub",.    pat
│ │ │ -00236cf0: 6820 2020 203d 2667 743b 2027 2f62 696e  h    =&gt; '/bin
│ │ │ -00236d00: 3a2f 7573 722f 6269 6e27 0a20 207d 0a7d  :/usr/bin'.  }.}
│ │ │ -00236d10: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00236d20: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00236d30: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00236d40: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00236d50: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00236d60: 743d 2223 6964 6d32 3232 3938 2220 7461  t="#idm22298" ta
│ │ │ -00236d70: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00236d80: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00236d90: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00236da0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00236db0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00236dc0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00236dd0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00236de0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00236df0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00236e00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00236e10: 6964 3d22 6964 6d32 3232 3938 223e 3c74  id="idm22298"><t
│ │ │ -00236e20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00236e30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00236e40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00236e50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00236e60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00236e70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00236e80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00236e90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00236ea0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00236eb0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00236ec0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00236ed0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00236ee0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00236ef0: 7464 3e63 6f6e 6669 6775 7265 3c2f 7464  td>configure</td
│ │ │ -00236f00: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00236f10: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00236f20: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00236f30: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00236f40: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00236f50: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00236f60: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00236f70: 302d 3137 312d 332e 312e 3133 0a20 202d  0-171-3.1.13.  -
│ │ │ -00236f80: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -00236f90: 3133 2e31 300a 2020 2d20 4e49 5354 2d38  13.10.  - NIST-8
│ │ │ -00236fa0: 3030 2d35 332d 4143 2d31 3728 6129 0a20  00-53-AC-17(a). 
│ │ │ -00236fb0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00236fc0: 432d 3628 3129 0a20 202d 204e 4953 542d  C-6(1).  - NIST-
│ │ │ -00236fd0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00236fe0: 202d 2050 4349 2d44 5353 2d52 6571 2d32   - PCI-DSS-Req-2
│ │ │ -00236ff0: 2e32 2e34 0a20 202d 2050 4349 2d44 5353  .2.4.  - PCI-DSS
│ │ │ -00237000: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -00237010: 5353 7634 2d32 2e32 2e36 0a20 202d 2063  SSv4-2.2.6.  - c
│ │ │ -00237020: 6f6e 6669 6775 7265 5f73 7472 6174 6567  onfigure_strateg
│ │ │ -00237030: 790a 2020 2d20 6669 6c65 5f70 6572 6d69  y.  - file_permi
│ │ │ -00237040: 7373 696f 6e73 5f73 7368 645f 7075 625f  ssions_sshd_pub_
│ │ │ -00237050: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -00237060: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00237070: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -00237080: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -00237090: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -002370a0: 6564 0a0a 2d20 6e61 6d65 3a20 4669 6e64  ed..- name: Find
│ │ │ -002370b0: 202f 6574 632f 7373 682f 2066 696c 6528   /etc/ssh/ file(
│ │ │ -002370c0: 7329 0a20 2063 6f6d 6d61 6e64 3a20 6669  s).  command: fi
│ │ │ -002370d0: 6e64 202d 4820 2f65 7463 2f73 7368 2f20  nd -H /etc/ssh/ 
│ │ │ -002370e0: 2d6d 6178 6465 7074 6820 3120 2d70 6572  -maxdepth 1 -per
│ │ │ -002370f0: 6d20 2f75 2b78 732c 672b 7877 732c 6f2b  m /u+xs,g+xws,o+
│ │ │ -00237100: 7877 7420 202d 7479 7065 2066 202d 7265  xwt  -type f -re
│ │ │ -00237110: 6765 7874 7970 650a 2020 2020 706f 7369  gextype.    posi
│ │ │ -00237120: 782d 6578 7465 6e64 6564 202d 7265 6765  x-extended -rege
│ │ │ -00237130: 7820 225e 2e2a 5c2e 7075 6224 220a 2020  x "^.*\.pub$".  
│ │ │ -00237140: 7265 6769 7374 6572 3a20 6669 6c65 735f  register: files_
│ │ │ -00237150: 666f 756e 640a 2020 6368 616e 6765 645f  found.  changed_
│ │ │ -00237160: 7768 656e 3a20 6661 6c73 650a 2020 6661  when: false.  fa
│ │ │ -00237170: 696c 6564 5f77 6865 6e3a 2066 616c 7365  iled_when: false
│ │ │ -00237180: 0a20 2063 6865 636b 5f6d 6f64 653a 2066  .  check_mode: f
│ │ │ -00237190: 616c 7365 0a20 2077 6865 6e3a 2027 226c  alse.  when: '"l
│ │ │ -002371a0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ -002371b0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -002371c0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -002371d0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -002371e0: 2e31 2e31 330a 2020 2d20 4e49 5354 2d38  .1.13.  - NIST-8
│ │ │ -002371f0: 3030 2d31 3731 2d33 2e31 332e 3130 0a20  00-171-3.13.10. 
│ │ │ -00237200: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00237210: 432d 3137 2861 290a 2020 2d20 4e49 5354  C-17(a).  - NIST
│ │ │ -00237220: 2d38 3030 2d35 332d 4143 2d36 2831 290a  -800-53-AC-6(1).
│ │ │ -00237230: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00237240: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -00237250: 4453 532d 5265 712d 322e 322e 340a 2020  DSS-Req-2.2.4.  
│ │ │ -00237260: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00237270: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00237280: 322e 360a 2020 2d20 636f 6e66 6967 7572  2.6.  - configur
│ │ │ -00237290: 655f 7374 7261 7465 6779 0a20 202d 2066  e_strategy.  - f
│ │ │ -002372a0: 696c 655f 7065 726d 6973 7369 6f6e 735f  ile_permissions_
│ │ │ -002372b0: 7373 6864 5f70 7562 5f6b 6579 0a20 202d  sshd_pub_key.  -
│ │ │ -002372c0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -002372d0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -002372e0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -002372f0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00237300: 626f 6f74 5f6e 6565 6465 640a 0a2d 206e  boot_needed..- n
│ │ │ -00237310: 616d 653a 2053 6574 2070 6572 6d69 7373  ame: Set permiss
│ │ │ -00237320: 696f 6e73 2066 6f72 202f 6574 632f 7373  ions for /etc/ss
│ │ │ -00237330: 682f 2066 696c 6528 7329 0a20 2066 696c  h/ file(s).  fil
│ │ │ -00237340: 653a 0a20 2020 2070 6174 683a 2027 7b7b  e:.    path: '{{
│ │ │ -00237350: 2069 7465 6d20 7d7d 270a 2020 2020 6d6f   item }}'.    mo
│ │ │ -00237360: 6465 3a20 752d 7873 2c67 2d78 7773 2c6f  de: u-xs,g-xws,o
│ │ │ -00237370: 2d78 7774 0a20 2020 2073 7461 7465 3a20  -xwt.    state: 
│ │ │ -00237380: 6669 6c65 0a20 2077 6974 685f 6974 656d  file.  with_item
│ │ │ -00237390: 733a 0a20 202d 2027 7b7b 2066 696c 6573  s:.  - '{{ files
│ │ │ -002373a0: 5f66 6f75 6e64 2e73 7464 6f75 745f 6c69  _found.stdout_li
│ │ │ -002373b0: 6e65 7320 7d7d 270a 2020 7768 656e 3a20  nes }}'.  when: 
│ │ │ -002373c0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -002373d0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -002373e0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -002373f0: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -00237400: 312d 332e 312e 3133 0a20 202d 204e 4953  1-3.1.13.  - NIS
│ │ │ -00237410: 542d 3830 302d 3137 312d 332e 3133 2e31  T-800-171-3.13.1
│ │ │ -00237420: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -00237430: 332d 4143 2d31 3728 6129 0a20 202d 204e  3-AC-17(a).  - N
│ │ │ -00237440: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ -00237450: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -00237460: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -00237470: 4349 2d44 5353 2d52 6571 2d32 2e32 2e34  CI-DSS-Req-2.2.4
│ │ │ -00237480: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -00237490: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -002374a0: 2d32 2e32 2e36 0a20 202d 2063 6f6e 6669  -2.2.6.  - confi
│ │ │ -002374b0: 6775 7265 5f73 7472 6174 6567 790a 2020  gure_strategy.  
│ │ │ -002374c0: 2d20 6669 6c65 5f70 6572 6d69 7373 696f  - file_permissio
│ │ │ -002374d0: 6e73 5f73 7368 645f 7075 625f 6b65 790a  ns_sshd_pub_key.
│ │ │ -002374e0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -002374f0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00237500: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -00237510: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -00237520: 5f72 6562 6f6f 745f 6e65 6564 6564 0a3c  _reboot_needed.<
│ │ │ -00237530: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00237540: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00237550: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00237560: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00237570: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00237580: 2223 6964 6d32 3232 3939 2220 7461 6269  "#idm22299" tabi
│ │ │ -00237590: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -002375a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -002375b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -002375c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -002375d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -002375e0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -002375f0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -00237600: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00237610: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00237620: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00237630: 646d 3232 3239 3922 3e3c 7461 626c 6520  dm22299"><table 
│ │ │ -00237640: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00237650: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00237660: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00237670: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00237680: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00237690: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -002376a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -002376b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -002376c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -002376d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -002376e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -002376f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00237700: 7465 6779 3a3c 2f74 683e 3c74 643e 636f  tegy:</th><td>co
│ │ │ -00237710: 6e66 6967 7572 653c 2f74 643e 3c2f 7472  nfigure</td></tr
│ │ │ -00237720: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00237730: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ -00237740: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ -00237750: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ -00237760: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ -00237770: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ -00237780: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ -00237790: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ -002377a0: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ -002377b0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ -002377c0: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ -002377d0: 6c65 643b 2074 6865 6e0a 0a66 696e 6420  led; then..find 
│ │ │ -002377e0: 2d4c 202f 6574 632f 7373 682f 202d 6d61  -L /etc/ssh/ -ma
│ │ │ -002377f0: 7864 6570 7468 2031 202d 7065 726d 202f  xdepth 1 -perm /
│ │ │ -00237800: 752b 7873 2c67 2b78 7773 2c6f 2b78 7774  u+xs,g+xws,o+xwt
│ │ │ -00237810: 2020 2d74 7970 6520 6620 2d72 6567 6578    -type f -regex
│ │ │ -00237820: 7479 7065 2070 6f73 6978 2d65 7874 656e  type posix-exten
│ │ │ -00237830: 6465 6420 2d72 6567 6578 2027 5e2e 2a5c  ded -regex '^.*\
│ │ │ -00237840: 2e70 7562 2427 202d 6578 6563 2063 686d  .pub$' -exec chm
│ │ │ -00237850: 6f64 2075 2d78 732c 672d 7877 732c 6f2d  od u-xs,g-xws,o-
│ │ │ -00237860: 7877 7420 7b7d 205c 3b0a 0a65 6c73 650a  xwt {} \;..else.
│ │ │ -00237870: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -00237880: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -00237890: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -002378a0: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -002378b0: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +00236c00: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00236c10: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00236c20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00236c30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00236c40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00236c50: 3d22 6964 6d32 3232 3937 223e 3c74 6162  ="idm22297"><tab
│ │ │ +00236c60: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00236c70: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00236c80: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00236c90: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00236ca0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00236cb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00236cc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00236cd0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00236ce0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00236cf0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00236d00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00236d10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00236d20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00236d30: 3e63 6f6e 6669 6775 7265 3c2f 7464 3e3c  >configure</td><
│ │ │ +00236d40: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00236d50: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +00236d60: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +00236d70: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +00236d80: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +00236d90: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +00236da0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00236db0: 3137 312d 332e 312e 3133 0a20 202d 204e  171-3.1.13.  - N
│ │ │ +00236dc0: 4953 542d 3830 302d 3137 312d 332e 3133  IST-800-171-3.13
│ │ │ +00236dd0: 2e31 300a 2020 2d20 4e49 5354 2d38 3030  .10.  - NIST-800
│ │ │ +00236de0: 2d35 332d 4143 2d31 3728 6129 0a20 202d  -53-AC-17(a).  -
│ │ │ +00236df0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +00236e00: 3628 3129 0a20 202d 204e 4953 542d 3830  6(1).  - NIST-80
│ │ │ +00236e10: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00236e20: 2050 4349 2d44 5353 2d52 6571 2d32 2e32   PCI-DSS-Req-2.2
│ │ │ +00236e30: 2e34 0a20 202d 2050 4349 2d44 5353 7634  .4.  - PCI-DSSv4
│ │ │ +00236e40: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +00236e50: 7634 2d32 2e32 2e36 0a20 202d 2063 6f6e  v4-2.2.6.  - con
│ │ │ +00236e60: 6669 6775 7265 5f73 7472 6174 6567 790a  figure_strategy.
│ │ │ +00236e70: 2020 2d20 6669 6c65 5f70 6572 6d69 7373    - file_permiss
│ │ │ +00236e80: 696f 6e73 5f73 7368 645f 7075 625f 6b65  ions_sshd_pub_ke
│ │ │ +00236e90: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00236ea0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00236eb0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00236ec0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00236ed0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00236ee0: 0a0a 2d20 6e61 6d65 3a20 4669 6e64 202f  ..- name: Find /
│ │ │ +00236ef0: 6574 632f 7373 682f 2066 696c 6528 7329  etc/ssh/ file(s)
│ │ │ +00236f00: 0a20 2063 6f6d 6d61 6e64 3a20 6669 6e64  .  command: find
│ │ │ +00236f10: 202d 4820 2f65 7463 2f73 7368 2f20 2d6d   -H /etc/ssh/ -m
│ │ │ +00236f20: 6178 6465 7074 6820 3120 2d70 6572 6d20  axdepth 1 -perm 
│ │ │ +00236f30: 2f75 2b78 732c 672b 7877 732c 6f2b 7877  /u+xs,g+xws,o+xw
│ │ │ +00236f40: 7420 202d 7479 7065 2066 202d 7265 6765  t  -type f -rege
│ │ │ +00236f50: 7874 7970 650a 2020 2020 706f 7369 782d  xtype.    posix-
│ │ │ +00236f60: 6578 7465 6e64 6564 202d 7265 6765 7820  extended -regex 
│ │ │ +00236f70: 225e 2e2a 5c2e 7075 6224 220a 2020 7265  "^.*\.pub$".  re
│ │ │ +00236f80: 6769 7374 6572 3a20 6669 6c65 735f 666f  gister: files_fo
│ │ │ +00236f90: 756e 640a 2020 6368 616e 6765 645f 7768  und.  changed_wh
│ │ │ +00236fa0: 656e 3a20 6661 6c73 650a 2020 6661 696c  en: false.  fail
│ │ │ +00236fb0: 6564 5f77 6865 6e3a 2066 616c 7365 0a20  ed_when: false. 
│ │ │ +00236fc0: 2063 6865 636b 5f6d 6f64 653a 2066 616c   check_mode: fal
│ │ │ +00236fd0: 7365 0a20 2077 6865 6e3a 2027 226c 696e  se.  when: '"lin
│ │ │ +00236fe0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00236ff0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00237000: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +00237010: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31  NIST-800-171-3.1
│ │ │ +00237020: 2e31 330a 2020 2d20 4e49 5354 2d38 3030  .13.  - NIST-800
│ │ │ +00237030: 2d31 3731 2d33 2e31 332e 3130 0a20 202d  -171-3.13.10.  -
│ │ │ +00237040: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +00237050: 3137 2861 290a 2020 2d20 4e49 5354 2d38  17(a).  - NIST-8
│ │ │ +00237060: 3030 2d35 332d 4143 2d36 2831 290a 2020  00-53-AC-6(1).  
│ │ │ +00237070: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00237080: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +00237090: 532d 5265 712d 322e 322e 340a 2020 2d20  S-Req-2.2.4.  - 
│ │ │ +002370a0: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +002370b0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +002370c0: 360a 2020 2d20 636f 6e66 6967 7572 655f  6.  - configure_
│ │ │ +002370d0: 7374 7261 7465 6779 0a20 202d 2066 696c  strategy.  - fil
│ │ │ +002370e0: 655f 7065 726d 6973 7369 6f6e 735f 7373  e_permissions_ss
│ │ │ +002370f0: 6864 5f70 7562 5f6b 6579 0a20 202d 206c  hd_pub_key.  - l
│ │ │ +00237100: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00237110: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00237120: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00237130: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00237140: 6f74 5f6e 6565 6465 640a 0a2d 206e 616d  ot_needed..- nam
│ │ │ +00237150: 653a 2053 6574 2070 6572 6d69 7373 696f  e: Set permissio
│ │ │ +00237160: 6e73 2066 6f72 202f 6574 632f 7373 682f  ns for /etc/ssh/
│ │ │ +00237170: 2066 696c 6528 7329 0a20 2066 696c 653a   file(s).  file:
│ │ │ +00237180: 0a20 2020 2070 6174 683a 2027 7b7b 2069  .    path: '{{ i
│ │ │ +00237190: 7465 6d20 7d7d 270a 2020 2020 6d6f 6465  tem }}'.    mode
│ │ │ +002371a0: 3a20 752d 7873 2c67 2d78 7773 2c6f 2d78  : u-xs,g-xws,o-x
│ │ │ +002371b0: 7774 0a20 2020 2073 7461 7465 3a20 6669  wt.    state: fi
│ │ │ +002371c0: 6c65 0a20 2077 6974 685f 6974 656d 733a  le.  with_items:
│ │ │ +002371d0: 0a20 202d 2027 7b7b 2066 696c 6573 5f66  .  - '{{ files_f
│ │ │ +002371e0: 6f75 6e64 2e73 7464 6f75 745f 6c69 6e65  ound.stdout_line
│ │ │ +002371f0: 7320 7d7d 270a 2020 7768 656e 3a20 2722  s }}'.  when: '"
│ │ │ +00237200: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +00237210: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +00237220: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +00237230: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00237240: 332e 312e 3133 0a20 202d 204e 4953 542d  3.1.13.  - NIST-
│ │ │ +00237250: 3830 302d 3137 312d 332e 3133 2e31 300a  800-171-3.13.10.
│ │ │ +00237260: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00237270: 4143 2d31 3728 6129 0a20 202d 204e 4953  AC-17(a).  - NIS
│ │ │ +00237280: 542d 3830 302d 3533 2d41 432d 3628 3129  T-800-53-AC-6(1)
│ │ │ +00237290: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +002372a0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +002372b0: 2d44 5353 2d52 6571 2d32 2e32 2e34 0a20  -DSS-Req-2.2.4. 
│ │ │ +002372c0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +002372d0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +002372e0: 2e32 2e36 0a20 202d 2063 6f6e 6669 6775  .2.6.  - configu
│ │ │ +002372f0: 7265 5f73 7472 6174 6567 790a 2020 2d20  re_strategy.  - 
│ │ │ +00237300: 6669 6c65 5f70 6572 6d69 7373 696f 6e73  file_permissions
│ │ │ +00237310: 5f73 7368 645f 7075 625f 6b65 790a 2020  _sshd_pub_key.  
│ │ │ +00237320: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00237330: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00237340: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00237350: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00237360: 6562 6f6f 745f 6e65 6564 6564 0a3c 2f63  eboot_needed.</c
│ │ │ +00237370: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00237380: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00237390: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +002373a0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +002373b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +002373c0: 6964 6d32 3232 3938 2220 7461 6269 6e64  idm22298" tabind
│ │ │ +002373d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +002373e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +002373f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00237400: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00237410: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00237420: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +00237430: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +00237440: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00237450: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00237460: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00237470: 3232 3239 3822 3e3c 7461 626c 6520 636c  22298"><table cl
│ │ │ +00237480: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00237490: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +002374a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +002374b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +002374c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +002374d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +002374e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +002374f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00237500: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00237510: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00237520: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00237530: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00237540: 6779 3a3c 2f74 683e 3c74 643e 636f 6e66  gy:</th><td>conf
│ │ │ +00237550: 6967 7572 653c 2f74 643e 3c2f 7472 3e3c  igure</td></tr><
│ │ │ +00237560: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00237570: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ +00237580: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ +00237590: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ +002375a0: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ +002375b0: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ +002375c0: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ +002375d0: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ +002375e0: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ +002375f0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ +00237600: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ +00237610: 643b 2074 6865 6e0a 0a66 696e 6420 2d4c  d; then..find -L
│ │ │ +00237620: 202f 6574 632f 7373 682f 202d 6d61 7864   /etc/ssh/ -maxd
│ │ │ +00237630: 6570 7468 2031 202d 7065 726d 202f 752b  epth 1 -perm /u+
│ │ │ +00237640: 7873 2c67 2b78 7773 2c6f 2b78 7774 2020  xs,g+xws,o+xwt  
│ │ │ +00237650: 2d74 7970 6520 6620 2d72 6567 6578 7479  -type f -regexty
│ │ │ +00237660: 7065 2070 6f73 6978 2d65 7874 656e 6465  pe posix-extende
│ │ │ +00237670: 6420 2d72 6567 6578 2027 5e2e 2a5c 2e70  d -regex '^.*\.p
│ │ │ +00237680: 7562 2427 202d 6578 6563 2063 686d 6f64  ub$' -exec chmod
│ │ │ +00237690: 2075 2d78 732c 672d 7877 732c 6f2d 7877   u-xs,g-xws,o-xw
│ │ │ +002376a0: 7420 7b7d 205c 3b0a 0a65 6c73 650a 2020  t {} \;..else.  
│ │ │ +002376b0: 2020 2667 743b 2661 6d70 3b32 2065 6368    &gt;&amp;2 ech
│ │ │ +002376c0: 6f20 2752 656d 6564 6961 7469 6f6e 2069  o 'Remediation i
│ │ │ +002376d0: 7320 6e6f 7420 6170 706c 6963 6162 6c65  s not applicable
│ │ │ +002376e0: 2c20 6e6f 7468 696e 6720 7761 7320 646f  , nothing was do
│ │ │ +002376f0: 6e65 270a 6669 0a3c 2f63 6f64 653e 3c2f  ne'.fi.</code></
│ │ │ +00237700: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00237710: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00237720: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00237730: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00237740: 2d74 6172 6765 743d 2223 6964 6d32 3232  -target="#idm222
│ │ │ +00237750: 3939 2220 7461 6269 6e64 6578 3d22 3022  99" tabindex="0"
│ │ │ +00237760: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00237770: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00237780: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00237790: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +002377a0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +002377b0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +002377c0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +002377d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +002377e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +002377f0: 7073 6522 2069 643d 2269 646d 3232 3239  pse" id="idm2229
│ │ │ +00237800: 3922 3e3c 7072 653e 3c63 6f64 653e 696e  9"><pre><code>in
│ │ │ +00237810: 636c 7564 6520 7373 685f 7075 626c 6963  clude ssh_public
│ │ │ +00237820: 5f6b 6579 5f70 6572 6d73 0a0a 636c 6173  _key_perms..clas
│ │ │ +00237830: 7320 7373 685f 7075 626c 6963 5f6b 6579  s ssh_public_key
│ │ │ +00237840: 5f70 6572 6d73 207b 0a20 2065 7865 6320  _perms {.  exec 
│ │ │ +00237850: 7b20 2773 7368 645f 7075 625f 6b65 7927  { 'sshd_pub_key'
│ │ │ +00237860: 3a0a 2020 2020 636f 6d6d 616e 6420 3d26  :.    command =&
│ │ │ +00237870: 6774 3b20 2263 686d 6f64 2030 3634 3420  gt; "chmod 0644 
│ │ │ +00237880: 2f65 7463 2f73 7368 2f2a 2e70 7562 222c  /etc/ssh/*.pub",
│ │ │ +00237890: 0a20 2020 2070 6174 6820 2020 203d 2667  .    path    =&g
│ │ │ +002378a0: 743b 2027 2f62 696e 3a2f 7573 722f 6269  t; '/bin:/usr/bi
│ │ │ +002378b0: 6e27 0a20 207d 0a7d 0a3c 2f63 6f64 653e  n'.  }.}.</code>
│ │ │  002378c0: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  002378d0: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  002378e0: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  002378f0: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00237900: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  00237910: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00237920: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -240803,204 +240803,204 @@
│ │ │  003aca20: 7267 6574 3d22 2369 646d 3234 3634 3722  rget="#idm24647"
│ │ │  003aca30: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  003aca40: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  003aca50: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  003aca60: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  003aca70: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  003aca80: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -003aca90: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -003acaa0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -003acab0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -003acac0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -003acad0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -003acae0: 2269 646d 3234 3634 3722 3e3c 7072 653e  "idm24647"><pre>
│ │ │ -003acaf0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ -003acb00: 735d 5d0a 6e61 6d65 203d 2022 6175 6469  s]].name = "audi
│ │ │ -003acb10: 7464 220a 7665 7273 696f 6e20 3d20 222a  td".version = "*
│ │ │ -003acb20: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -003acb30: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -003acb40: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -003acb50: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -003acb60: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -003acb70: 6574 3d22 2369 646d 3234 3634 3822 2074  et="#idm24648" t
│ │ │ -003acb80: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -003acb90: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -003acba0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -003acbb0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -003acbc0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -003acbd0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -003acbe0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -003acbf0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -003acc00: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -003acc10: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -003acc20: 6964 3d22 6964 6d32 3436 3438 223e 3c74  id="idm24648"><t
│ │ │ -003acc30: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -003acc40: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -003acc50: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -003acc60: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -003acc70: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -003acc80: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -003acc90: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -003acca0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -003accb0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -003accc0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -003accd0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -003acce0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -003accf0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -003acd00: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -003acd10: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -003acd20: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ -003acd30: 7374 616c 6c5f 6175 6469 7464 0a0a 636c  stall_auditd..cl
│ │ │ -003acd40: 6173 7320 696e 7374 616c 6c5f 6175 6469  ass install_audi
│ │ │ -003acd50: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ -003acd60: 2027 6175 6469 7464 273a 0a20 2020 2065   'auditd':.    e
│ │ │ -003acd70: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -003acd80: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -003acd90: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -003acda0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -003acdb0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -003acdc0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -003acdd0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -003acde0: 2223 6964 6d32 3436 3439 2220 7461 6269  "#idm24649" tabi
│ │ │ -003acdf0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -003ace00: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -003ace10: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -003ace20: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -003ace30: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -003ace40: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -003ace50: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -003ace60: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -003ace70: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -003ace80: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -003ace90: 3d22 6964 6d32 3436 3439 223e 3c74 6162  ="idm24649"><tab
│ │ │ -003acea0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -003aceb0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -003acec0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -003aced0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -003acee0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -003acef0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -003acf00: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -003acf10: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -003acf20: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -003acf30: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -003acf40: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -003acf50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -003acf60: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -003acf70: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -003acf80: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -003acf90: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -003acfa0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -003acfb0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -003acfc0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -003acfd0: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -003acfe0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -003acff0: 4143 2d37 2861 290a 2020 2d20 4e49 5354  AC-7(a).  - NIST
│ │ │ -003ad000: 2d38 3030 2d35 332d 4155 2d31 3228 3229  -800-53-AU-12(2)
│ │ │ -003ad010: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003ad020: 2d41 552d 3134 0a20 202d 204e 4953 542d  -AU-14.  - NIST-
│ │ │ -003ad030: 3830 302d 3533 2d41 552d 3228 6129 0a20  800-53-AU-2(a). 
│ │ │ -003ad040: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -003ad050: 552d 3728 3129 0a20 202d 204e 4953 542d  U-7(1).  - NIST-
│ │ │ -003ad060: 3830 302d 3533 2d41 552d 3728 3229 0a20  800-53-AU-7(2). 
│ │ │ -003ad070: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -003ad080: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -003ad090: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ -003ad0a0: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ -003ad0b0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -003ad0c0: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ -003ad0d0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -003ad0e0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -003ad0f0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -003ad100: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -003ad110: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -003ad120: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -003ad130: 6765 5f61 7564 6974 5f69 6e73 7461 6c6c  ge_audit_install
│ │ │ -003ad140: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ -003ad150: 7265 2061 7564 6974 6420 6973 2069 6e73  re auditd is ins
│ │ │ -003ad160: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ -003ad170: 3a0a 2020 2020 6e61 6d65 3a20 6175 6469  :.    name: audi
│ │ │ -003ad180: 7464 0a20 2020 2073 7461 7465 3a20 7072  td.    state: pr
│ │ │ -003ad190: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ -003ad1a0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -003ad1b0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -003ad1c0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -003ad1d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -003ad1e0: 432d 3728 6129 0a20 202d 204e 4953 542d  C-7(a).  - NIST-
│ │ │ -003ad1f0: 3830 302d 3533 2d41 552d 3132 2832 290a  800-53-AU-12(2).
│ │ │ -003ad200: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -003ad210: 4155 2d31 340a 2020 2d20 4e49 5354 2d38  AU-14.  - NIST-8
│ │ │ -003ad220: 3030 2d35 332d 4155 2d32 2861 290a 2020  00-53-AU-2(a).  
│ │ │ -003ad230: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -003ad240: 2d37 2831 290a 2020 2d20 4e49 5354 2d38  -7(1).  - NIST-8
│ │ │ -003ad250: 3030 2d35 332d 4155 2d37 2832 290a 2020  00-53-AU-7(2).  
│ │ │ -003ad260: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -003ad270: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ -003ad280: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ -003ad290: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ -003ad2a0: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ -003ad2b0: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ -003ad2c0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -003ad2d0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -003ad2e0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -003ad2f0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -003ad300: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -003ad310: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -003ad320: 655f 6175 6469 745f 696e 7374 616c 6c65  e_audit_installe
│ │ │ -003ad330: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -003ad340: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -003ad350: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -003ad360: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -003ad370: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -003ad380: 6574 3d22 2369 646d 3234 3635 3022 2074  et="#idm24650" t
│ │ │ -003ad390: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -003ad3a0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -003ad3b0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -003ad3c0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -003ad3d0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -003ad3e0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -003ad3f0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -003ad400: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -003ad410: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -003ad420: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -003ad430: 3d22 6964 6d32 3436 3530 223e 3c74 6162  ="idm24650"><tab
│ │ │ -003ad440: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -003ad450: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -003ad460: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -003ad470: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -003ad480: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -003ad490: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -003ad4a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -003ad4b0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -003ad4c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -003ad4d0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -003ad4e0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -003ad4f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -003ad500: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -003ad510: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -003ad520: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -003ad530: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ -003ad540: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ -003ad550: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ -003ad560: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ -003ad570: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ -003ad580: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ -003ad590: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ -003ad5a0: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ -003ad5b0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ -003ad5c0: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ -003ad5d0: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ -003ad5e0: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -003ad5f0: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -003ad600: 7420 696e 7374 616c 6c20 2d79 2022 6175  t install -y "au
│ │ │ -003ad610: 6469 7464 220a 0a65 6c73 650a 2020 2020  ditd"..else.    
│ │ │ -003ad620: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ -003ad630: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ -003ad640: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ -003ad650: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ -003ad660: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +003aca90: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +003acaa0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +003acab0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +003acac0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +003acad0: 6522 2069 643d 2269 646d 3234 3634 3722  e" id="idm24647"
│ │ │ +003acae0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +003acaf0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +003acb00: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +003acb10: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +003acb20: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +003acb30: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +003acb40: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +003acb50: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +003acb60: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +003acb70: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +003acb80: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +003acb90: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +003acba0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +003acbb0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +003acbc0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +003acbd0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +003acbe0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +003acbf0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +003acc00: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +003acc10: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +003acc20: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +003acc30: 302d 3533 2d41 432d 3728 6129 0a20 202d  0-53-AC-7(a).  -
│ │ │ +003acc40: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +003acc50: 3132 2832 290a 2020 2d20 4e49 5354 2d38  12(2).  - NIST-8
│ │ │ +003acc60: 3030 2d35 332d 4155 2d31 340a 2020 2d20  00-53-AU-14.  - 
│ │ │ +003acc70: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +003acc80: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +003acc90: 2d35 332d 4155 2d37 2831 290a 2020 2d20  -53-AU-7(1).  - 
│ │ │ +003acca0: 4e49 5354 2d38 3030 2d35 332d 4155 2d37  NIST-800-53-AU-7
│ │ │ +003accb0: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ +003accc0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +003accd0: 5043 492d 4453 532d 5265 712d 3130 2e31  PCI-DSS-Req-10.1
│ │ │ +003acce0: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +003accf0: 302e 320a 2020 2d20 5043 492d 4453 5376  0.2.  - PCI-DSSv
│ │ │ +003acd00: 342d 3130 2e32 2e31 0a20 202d 2065 6e61  4-10.2.1.  - ena
│ │ │ +003acd10: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +003acd20: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +003acd30: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +003acd40: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +003acd50: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +003acd60: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +003acd70: 7061 636b 6167 655f 6175 6469 745f 696e  package_audit_in
│ │ │ +003acd80: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +003acd90: 2045 6e73 7572 6520 6175 6469 7464 2069   Ensure auditd i
│ │ │ +003acda0: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ +003acdb0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +003acdc0: 2061 7564 6974 640a 2020 2020 7374 6174   auditd.    stat
│ │ │ +003acdd0: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ +003acde0: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ +003acdf0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +003ace00: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +003ace10: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +003ace20: 2d35 332d 4143 2d37 2861 290a 2020 2d20  -53-AC-7(a).  - 
│ │ │ +003ace30: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +003ace40: 3228 3229 0a20 202d 204e 4953 542d 3830  2(2).  - NIST-80
│ │ │ +003ace50: 302d 3533 2d41 552d 3134 0a20 202d 204e  0-53-AU-14.  - N
│ │ │ +003ace60: 4953 542d 3830 302d 3533 2d41 552d 3228  IST-800-53-AU-2(
│ │ │ +003ace70: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +003ace80: 3533 2d41 552d 3728 3129 0a20 202d 204e  53-AU-7(1).  - N
│ │ │ +003ace90: 4953 542d 3830 302d 3533 2d41 552d 3728  IST-800-53-AU-7(
│ │ │ +003acea0: 3229 0a20 202d 204e 4953 542d 3830 302d  2).  - NIST-800-
│ │ │ +003aceb0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +003acec0: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ +003aced0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +003acee0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ +003acef0: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ +003acf00: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +003acf10: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +003acf20: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +003acf30: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +003acf40: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +003acf50: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +003acf60: 6163 6b61 6765 5f61 7564 6974 5f69 6e73  ackage_audit_ins
│ │ │ +003acf70: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +003acf80: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +003acf90: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +003acfa0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +003acfb0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +003acfc0: 2d74 6172 6765 743d 2223 6964 6d32 3436  -target="#idm246
│ │ │ +003acfd0: 3438 2220 7461 6269 6e64 6578 3d22 3022  48" tabindex="0"
│ │ │ +003acfe0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +003acff0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +003ad000: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +003ad010: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +003ad020: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +003ad030: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +003ad040: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +003ad050: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +003ad060: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +003ad070: 6522 2069 643d 2269 646d 3234 3634 3822  e" id="idm24648"
│ │ │ +003ad080: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +003ad090: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +003ad0a0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +003ad0b0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +003ad0c0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +003ad0d0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +003ad0e0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +003ad0f0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +003ad100: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +003ad110: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +003ad120: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +003ad130: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +003ad140: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +003ad150: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +003ad160: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +003ad170: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ +003ad180: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ +003ad190: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ +003ad1a0: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ +003ad1b0: 6620 6470 6b67 2d71 7565 7279 202d 2d73  f dpkg-query --s
│ │ │ +003ad1c0: 686f 7720 2d2d 7368 6f77 666f 726d 6174  how --showformat
│ │ │ +003ad1d0: 3d27 247b 6462 3a53 7461 7475 732d 5374  ='${db:Status-St
│ │ │ +003ad1e0: 6174 7573 7d0a 2720 276c 696e 7578 2d62  atus}.' 'linux-b
│ │ │ +003ad1f0: 6173 6527 2032 2667 743b 2f64 6576 2f6e  ase' 2&gt;/dev/n
│ │ │ +003ad200: 756c 6c20 7c20 6772 6570 202d 7120 5e69  ull | grep -q ^i
│ │ │ +003ad210: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a  nstalled; then..
│ │ │ +003ad220: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +003ad230: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +003ad240: 7074 2d67 6574 2069 6e73 7461 6c6c 202d  pt-get install -
│ │ │ +003ad250: 7920 2261 7564 6974 6422 0a0a 656c 7365  y "auditd"..else
│ │ │ +003ad260: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +003ad270: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +003ad280: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +003ad290: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +003ad2a0: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +003ad2b0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +003ad2c0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +003ad2d0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +003ad2e0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +003ad2f0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +003ad300: 3234 3634 3922 2074 6162 696e 6465 783d  24649" tabindex=
│ │ │ +003ad310: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +003ad320: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +003ad330: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +003ad340: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +003ad350: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +003ad360: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +003ad370: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +003ad380: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +003ad390: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +003ad3a0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +003ad3b0: 6522 2069 643d 2269 646d 3234 3634 3922  e" id="idm24649"
│ │ │ +003ad3c0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +003ad3d0: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +003ad3e0: 2022 6175 6469 7464 220a 7665 7273 696f   "auditd".versio
│ │ │ +003ad3f0: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ +003ad400: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +003ad410: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +003ad420: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +003ad430: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +003ad440: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ +003ad450: 3635 3022 2074 6162 696e 6465 783d 2230  650" tabindex="0
│ │ │ +003ad460: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +003ad470: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +003ad480: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +003ad490: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +003ad4a0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +003ad4b0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +003ad4c0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +003ad4d0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +003ad4e0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +003ad4f0: 6170 7365 2220 6964 3d22 6964 6d32 3436  apse" id="idm246
│ │ │ +003ad500: 3530 223e 3c74 6162 6c65 2063 6c61 7373  50"><table class
│ │ │ +003ad510: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +003ad520: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +003ad530: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +003ad540: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +003ad550: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +003ad560: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +003ad570: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +003ad580: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +003ad590: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +003ad5a0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +003ad5b0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +003ad5c0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +003ad5d0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +003ad5e0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +003ad5f0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +003ad600: 7564 6520 696e 7374 616c 6c5f 6175 6469  ude install_audi
│ │ │ +003ad610: 7464 0a0a 636c 6173 7320 696e 7374 616c  td..class instal
│ │ │ +003ad620: 6c5f 6175 6469 7464 207b 0a20 2070 6163  l_auditd {.  pac
│ │ │ +003ad630: 6b61 6765 207b 2027 6175 6469 7464 273a  kage { 'auditd':
│ │ │ +003ad640: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +003ad650: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +003ad660: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  003ad670: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  003ad680: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  003ad690: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  003ad6a0: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  003ad6b0: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  003ad6c0: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  003ad6d0: 756c 655f 7365 7276 6963 655f 6175 6469  ule_service_audi
│ │ │ @@ -241410,191 +241410,191 @@
│ │ │  003af010: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  003af020: 3438 3438 2220 7461 6269 6e64 6578 3d22  4848" tabindex="
│ │ │  003af030: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  003af040: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  003af050: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  003af060: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  003af070: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -003af080: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -003af090: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -003af0a0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -003af0b0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -003af0c0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -003af0d0: 2220 6964 3d22 6964 6d32 3438 3438 223e  " id="idm24848">
│ │ │ -003af0e0: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ -003af0f0: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ -003af100: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ -003af110: 5b22 6175 6469 7464 225d 0a3c 2f63 6f64  ["auditd"].</cod
│ │ │ -003af120: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -003af130: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -003af140: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -003af150: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -003af160: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -003af170: 6d32 3438 3439 2220 7461 6269 6e64 6578  m24849" tabindex
│ │ │ -003af180: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -003af190: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -003af1a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -003af1b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -003af1c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -003af1d0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -003af1e0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -003af1f0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -003af200: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -003af210: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -003af220: 3234 3834 3922 3e3c 7461 626c 6520 636c  24849"><table cl
│ │ │ -003af230: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -003af240: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -003af250: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -003af260: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -003af270: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -003af280: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -003af290: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -003af2a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -003af2b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -003af2c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -003af2d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -003af2e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -003af2f0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -003af300: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -003af310: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -003af320: 6e63 6c75 6465 2065 6e61 626c 655f 6175  nclude enable_au
│ │ │ -003af330: 6469 7464 0a0a 636c 6173 7320 656e 6162  ditd..class enab
│ │ │ -003af340: 6c65 5f61 7564 6974 6420 7b0a 2020 7365  le_auditd {.  se
│ │ │ -003af350: 7276 6963 6520 7b27 6175 6469 7464 273a  rvice {'auditd':
│ │ │ -003af360: 0a20 2020 2065 6e61 626c 6520 3d26 6774  .    enable =&gt
│ │ │ -003af370: 3b20 7472 7565 2c0a 2020 2020 656e 7375  ; true,.    ensu
│ │ │ -003af380: 7265 203d 2667 743b 2027 7275 6e6e 696e  re =&gt; 'runnin
│ │ │ -003af390: 6727 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  g',.  }.}.</code
│ │ │ -003af3a0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -003af3b0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -003af3c0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -003af3d0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -003af3e0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -003af3f0: 3234 3835 3022 2074 6162 696e 6465 783d  24850" tabindex=
│ │ │ -003af400: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -003af410: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -003af420: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -003af430: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -003af440: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -003af450: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -003af460: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -003af470: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -003af480: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -003af490: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -003af4a0: 3234 3835 3022 3e3c 7461 626c 6520 636c  24850"><table cl
│ │ │ -003af4b0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -003af4c0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -003af4d0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -003af4e0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -003af4f0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -003af500: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -003af510: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -003af520: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -003af530: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -003af540: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -003af550: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -003af560: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -003af570: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -003af580: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -003af590: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -003af5a0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -003af5b0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -003af5c0: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -003af5d0: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -003af5e0: 746f 0a20 2074 6167 733a 0a20 202d 2043  to.  tags:.  - C
│ │ │ -003af5f0: 4a49 532d 352e 342e 312e 310a 2020 2d20  JIS-5.4.1.1.  - 
│ │ │ -003af600: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ -003af610: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ -003af620: 3137 312d 332e 332e 320a 2020 2d20 4e49  171-3.3.2.  - NI
│ │ │ -003af630: 5354 2d38 3030 2d31 3731 2d33 2e33 2e36  ST-800-171-3.3.6
│ │ │ -003af640: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003af650: 2d41 432d 3228 6729 0a20 202d 204e 4953  -AC-2(g).  - NIS
│ │ │ -003af660: 542d 3830 302d 3533 2d41 432d 3628 3929  T-800-53-AC-6(9)
│ │ │ -003af670: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003af680: 2d41 552d 3130 0a20 202d 204e 4953 542d  -AU-10.  - NIST-
│ │ │ -003af690: 3830 302d 3533 2d41 552d 3132 2863 290a  800-53-AU-12(c).
│ │ │ -003af6a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -003af6b0: 4155 2d31 3428 3129 0a20 202d 204e 4953  AU-14(1).  - NIS
│ │ │ -003af6c0: 542d 3830 302d 3533 2d41 552d 3228 6429  T-800-53-AU-2(d)
│ │ │ -003af6d0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003af6e0: 2d41 552d 330a 2020 2d20 4e49 5354 2d38  -AU-3.  - NIST-8
│ │ │ -003af6f0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -003af700: 2d20 4e49 5354 2d38 3030 2d35 332d 5349  - NIST-800-53-SI
│ │ │ -003af710: 2d34 2832 3329 0a20 202d 2050 4349 2d44  -4(23).  - PCI-D
│ │ │ -003af720: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ -003af730: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ -003af740: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -003af750: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ -003af760: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -003af770: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -003af780: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -003af790: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -003af7a0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -003af7b0: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ -003af7c0: 6365 5f61 7564 6974 645f 656e 6162 6c65  ce_auditd_enable
│ │ │ -003af7d0: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ -003af7e0: 6520 6175 6469 7464 2053 6572 7669 6365  e auditd Service
│ │ │ -003af7f0: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ -003af800: 6520 6175 6469 7464 0a20 2062 6c6f 636b  e auditd.  block
│ │ │ -003af810: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ -003af820: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -003af830: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ -003af840: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ -003af850: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ -003af860: 2d20 6e61 6d65 3a20 456e 6162 6c65 2061  - name: Enable a
│ │ │ -003af870: 7564 6974 6420 5365 7276 6963 6520 2d20  uditd Service - 
│ │ │ -003af880: 456e 6162 6c65 2053 6572 7669 6365 2061  Enable Service a
│ │ │ -003af890: 7564 6974 640a 2020 2020 616e 7369 626c  uditd.    ansibl
│ │ │ -003af8a0: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ -003af8b0: 643a 0a20 2020 2020 206e 616d 653a 2061  d:.      name: a
│ │ │ -003af8c0: 7564 6974 640a 2020 2020 2020 656e 6162  uditd.      enab
│ │ │ -003af8d0: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ -003af8e0: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ -003af8f0: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ -003af900: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ -003af910: 202d 2027 2261 7564 6974 6422 2069 6e20   - '"auditd" in 
│ │ │ -003af920: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -003af930: 636b 6167 6573 270a 2020 7768 656e 3a0a  ckages'.  when:.
│ │ │ -003af940: 2020 2d20 2722 6c69 6e75 782d 6261 7365    - '"linux-base
│ │ │ -003af950: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -003af960: 7473 2e70 6163 6b61 6765 7327 0a20 202d  ts.packages'.  -
│ │ │ -003af970: 2027 2261 7564 6974 6422 2069 6e20 616e   '"auditd" in an
│ │ │ -003af980: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -003af990: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -003af9a0: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20  - CJIS-5.4.1.1. 
│ │ │ -003af9b0: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -003af9c0: 332e 332e 310a 2020 2d20 4e49 5354 2d38  3.3.1.  - NIST-8
│ │ │ -003af9d0: 3030 2d31 3731 2d33 2e33 2e32 0a20 202d  00-171-3.3.2.  -
│ │ │ -003af9e0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -003af9f0: 332e 360a 2020 2d20 4e49 5354 2d38 3030  3.6.  - NIST-800
│ │ │ -003afa00: 2d35 332d 4143 2d32 2867 290a 2020 2d20  -53-AC-2(g).  - 
│ │ │ -003afa10: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ -003afa20: 2839 290a 2020 2d20 4e49 5354 2d38 3030  (9).  - NIST-800
│ │ │ -003afa30: 2d35 332d 4155 2d31 300a 2020 2d20 4e49  -53-AU-10.  - NI
│ │ │ -003afa40: 5354 2d38 3030 2d35 332d 4155 2d31 3228  ST-800-53-AU-12(
│ │ │ -003afa50: 6329 0a20 202d 204e 4953 542d 3830 302d  c).  - NIST-800-
│ │ │ -003afa60: 3533 2d41 552d 3134 2831 290a 2020 2d20  53-AU-14(1).  - 
│ │ │ -003afa70: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ -003afa80: 2864 290a 2020 2d20 4e49 5354 2d38 3030  (d).  - NIST-800
│ │ │ -003afa90: 2d35 332d 4155 2d33 0a20 202d 204e 4953  -53-AU-3.  - NIS
│ │ │ -003afaa0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -003afab0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003afac0: 2d53 492d 3428 3233 290a 2020 2d20 5043  -SI-4(23).  - PC
│ │ │ -003afad0: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ -003afae0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -003afaf0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -003afb00: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ -003afb10: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -003afb20: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -003afb30: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -003afb40: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -003afb50: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -003afb60: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ -003afb70: 7276 6963 655f 6175 6469 7464 5f65 6e61  rvice_auditd_ena
│ │ │ -003afb80: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +003af080: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +003af090: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +003af0a0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +003af0b0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +003af0c0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +003af0d0: 3438 3438 223e 3c74 6162 6c65 2063 6c61  4848"><table cla
│ │ │ +003af0e0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +003af0f0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +003af100: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +003af110: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +003af120: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +003af130: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +003af140: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +003af150: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +003af160: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +003af170: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +003af180: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +003af190: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +003af1a0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +003af1b0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +003af1c0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +003af1d0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +003af1e0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +003af1f0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +003af200: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +003af210: 6f0a 2020 7461 6773 3a0a 2020 2d20 434a  o.  tags:.  - CJ
│ │ │ +003af220: 4953 2d35 2e34 2e31 2e31 0a20 202d 204e  IS-5.4.1.1.  - N
│ │ │ +003af230: 4953 542d 3830 302d 3137 312d 332e 332e  IST-800-171-3.3.
│ │ │ +003af240: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ +003af250: 3731 2d33 2e33 2e32 0a20 202d 204e 4953  71-3.3.2.  - NIS
│ │ │ +003af260: 542d 3830 302d 3137 312d 332e 332e 360a  T-800-171-3.3.6.
│ │ │ +003af270: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +003af280: 4143 2d32 2867 290a 2020 2d20 4e49 5354  AC-2(g).  - NIST
│ │ │ +003af290: 2d38 3030 2d35 332d 4143 2d36 2839 290a  -800-53-AC-6(9).
│ │ │ +003af2a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +003af2b0: 4155 2d31 300a 2020 2d20 4e49 5354 2d38  AU-10.  - NIST-8
│ │ │ +003af2c0: 3030 2d35 332d 4155 2d31 3228 6329 0a20  00-53-AU-12(c). 
│ │ │ +003af2d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +003af2e0: 552d 3134 2831 290a 2020 2d20 4e49 5354  U-14(1).  - NIST
│ │ │ +003af2f0: 2d38 3030 2d35 332d 4155 2d32 2864 290a  -800-53-AU-2(d).
│ │ │ +003af300: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +003af310: 4155 2d33 0a20 202d 204e 4953 542d 3830  AU-3.  - NIST-80
│ │ │ +003af320: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +003af330: 204e 4953 542d 3830 302d 3533 2d53 492d   NIST-800-53-SI-
│ │ │ +003af340: 3428 3233 290a 2020 2d20 5043 492d 4453  4(23).  - PCI-DS
│ │ │ +003af350: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ +003af360: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ +003af370: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +003af380: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +003af390: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +003af3a0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +003af3b0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +003af3c0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +003af3d0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +003af3e0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +003af3f0: 655f 6175 6469 7464 5f65 6e61 626c 6564  e_auditd_enabled
│ │ │ +003af400: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ +003af410: 2061 7564 6974 6420 5365 7276 6963 6520   auditd Service 
│ │ │ +003af420: 2d20 456e 6162 6c65 2073 6572 7669 6365  - Enable service
│ │ │ +003af430: 2061 7564 6974 640a 2020 626c 6f63 6b3a   auditd.  block:
│ │ │ +003af440: 0a0a 2020 2d20 6e61 6d65 3a20 4761 7468  ..  - name: Gath
│ │ │ +003af450: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +003af460: 6163 7473 0a20 2020 2070 6163 6b61 6765  acts.    package
│ │ │ +003af470: 5f66 6163 7473 3a0a 2020 2020 2020 6d61  _facts:.      ma
│ │ │ +003af480: 6e61 6765 723a 2061 7574 6f0a 0a20 202d  nager: auto..  -
│ │ │ +003af490: 206e 616d 653a 2045 6e61 626c 6520 6175   name: Enable au
│ │ │ +003af4a0: 6469 7464 2053 6572 7669 6365 202d 2045  ditd Service - E
│ │ │ +003af4b0: 6e61 626c 6520 5365 7276 6963 6520 6175  nable Service au
│ │ │ +003af4c0: 6469 7464 0a20 2020 2061 6e73 6962 6c65  ditd.    ansible
│ │ │ +003af4d0: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ +003af4e0: 3a0a 2020 2020 2020 6e61 6d65 3a20 6175  :.      name: au
│ │ │ +003af4f0: 6469 7464 0a20 2020 2020 2065 6e61 626c  ditd.      enabl
│ │ │ +003af500: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ +003af510: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ +003af520: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ +003af530: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ +003af540: 2d20 2722 6175 6469 7464 2220 696e 2061  - '"auditd" in a
│ │ │ +003af550: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +003af560: 6b61 6765 7327 0a20 2077 6865 6e3a 0a20  kages'.  when:. 
│ │ │ +003af570: 202d 2027 226c 696e 7578 2d62 6173 6522   - '"linux-base"
│ │ │ +003af580: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +003af590: 732e 7061 636b 6167 6573 270a 2020 2d20  s.packages'.  - 
│ │ │ +003af5a0: 2722 6175 6469 7464 2220 696e 2061 6e73  '"auditd" in ans
│ │ │ +003af5b0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +003af5c0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +003af5d0: 2043 4a49 532d 352e 342e 312e 310a 2020   CJIS-5.4.1.1.  
│ │ │ +003af5e0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +003af5f0: 2e33 2e31 0a20 202d 204e 4953 542d 3830  .3.1.  - NIST-80
│ │ │ +003af600: 302d 3137 312d 332e 332e 320a 2020 2d20  0-171-3.3.2.  - 
│ │ │ +003af610: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ +003af620: 2e36 0a20 202d 204e 4953 542d 3830 302d  .6.  - NIST-800-
│ │ │ +003af630: 3533 2d41 432d 3228 6729 0a20 202d 204e  53-AC-2(g).  - N
│ │ │ +003af640: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ +003af650: 3929 0a20 202d 204e 4953 542d 3830 302d  9).  - NIST-800-
│ │ │ +003af660: 3533 2d41 552d 3130 0a20 202d 204e 4953  53-AU-10.  - NIS
│ │ │ +003af670: 542d 3830 302d 3533 2d41 552d 3132 2863  T-800-53-AU-12(c
│ │ │ +003af680: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +003af690: 332d 4155 2d31 3428 3129 0a20 202d 204e  3-AU-14(1).  - N
│ │ │ +003af6a0: 4953 542d 3830 302d 3533 2d41 552d 3228  IST-800-53-AU-2(
│ │ │ +003af6b0: 6429 0a20 202d 204e 4953 542d 3830 302d  d).  - NIST-800-
│ │ │ +003af6c0: 3533 2d41 552d 330a 2020 2d20 4e49 5354  53-AU-3.  - NIST
│ │ │ +003af6d0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +003af6e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +003af6f0: 5349 2d34 2832 3329 0a20 202d 2050 4349  SI-4(23).  - PCI
│ │ │ +003af700: 2d44 5353 2d52 6571 2d31 302e 310a 2020  -DSS-Req-10.1.  
│ │ │ +003af710: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +003af720: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +003af730: 302e 322e 310a 2020 2d20 656e 6162 6c65  0.2.1.  - enable
│ │ │ +003af740: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +003af750: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +003af760: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +003af770: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +003af780: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +003af790: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +003af7a0: 7669 6365 5f61 7564 6974 645f 656e 6162  vice_auditd_enab
│ │ │ +003af7b0: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +003af7c0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +003af7d0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +003af7e0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +003af7f0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +003af800: 7267 6574 3d22 2369 646d 3234 3834 3922  rget="#idm24849"
│ │ │ +003af810: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +003af820: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +003af830: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +003af840: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +003af850: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +003af860: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +003af870: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +003af880: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +003af890: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +003af8a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +003af8b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +003af8c0: 2269 646d 3234 3834 3922 3e3c 7072 653e  "idm24849"><pre>
│ │ │ +003af8d0: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ +003af8e0: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ +003af8f0: 0a65 6e61 626c 6564 203d 205b 2261 7564  .enabled = ["aud
│ │ │ +003af900: 6974 6422 5d0a 3c2f 636f 6465 3e3c 2f70  itd"].</code></p
│ │ │ +003af910: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +003af920: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +003af930: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +003af940: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +003af950: 7461 7267 6574 3d22 2369 646d 3234 3835  target="#idm2485
│ │ │ +003af960: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ +003af970: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +003af980: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +003af990: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +003af9a0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +003af9b0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +003af9c0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +003af9d0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +003af9e0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +003af9f0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +003afa00: 7365 2220 6964 3d22 6964 6d32 3438 3530  se" id="idm24850
│ │ │ +003afa10: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +003afa20: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +003afa30: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +003afa40: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +003afa50: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +003afa60: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +003afa70: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +003afa80: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +003afa90: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +003afaa0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +003afab0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +003afac0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +003afad0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +003afae0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +003afaf0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +003afb00: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +003afb10: 6520 656e 6162 6c65 5f61 7564 6974 640a  e enable_auditd.
│ │ │ +003afb20: 0a63 6c61 7373 2065 6e61 626c 655f 6175  .class enable_au
│ │ │ +003afb30: 6469 7464 207b 0a20 2073 6572 7669 6365  ditd {.  service
│ │ │ +003afb40: 207b 2761 7564 6974 6427 3a0a 2020 2020   {'auditd':.    
│ │ │ +003afb50: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ +003afb60: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ +003afb70: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ +003afb80: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  003afb90: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  003afba0: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  003afbb0: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  003afbc0: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  003afbd0: 653e 3c2f 6469 763e 3c64 6976 2069 643d  e></div><div id=
│ │ │  003afbe0: 2272 6561 722d 6d61 7474 6572 223e 3c64  "rear-matter"><d
│ │ │  003afbf0: 6976 2063 6c61 7373 3d22 726f 7720 746f  iv class="row to
│ │ │ ├── html2text {}
│ │ │ │ @@ -114,31 +114,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.14.2.7, A.15.2.1, A.8.2.3
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-7, PR.DS-1, PR.DS-6, PR.DS-8, PR.IP-1, PR.IP-3
│ │ │ │              _p_c_i_d_s_s         Req-11.5
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000445-GPOS-00199
│ │ │ │              _a_n_s_s_i          R76, R79
│ │ │ │              _p_c_i_d_s_s_4        11.5.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -181,14 +164,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  BBuuiilldd aanndd TTeesstt AAIIDDEE DDaattaabbaassee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Run the following command to generate a new database:
│ │ │ │  $ sudo aideinit
│ │ │ │  By default, the database will be written to the file /var/lib/aide/aide.db.new. Storing the
│ │ │ │  database, the configuration file /etc/aide.conf, and the binary /usr/sbin/aide (or hashes of these
│ │ │ │  files), in a secure location (such as on read-only media) provides additional assurance about their
│ │ │ │  integrity. The newly-generated database can be installed as follows:
│ │ │ │ @@ -1313,31 +1313,14 @@
│ │ │ │              _d_i_s_a    CCI-002235
│ │ │ │              _i_s_m     1382, 1384, 1386
│ │ │ │              _n_i_s_t    CM-6(a)
│ │ │ │  References: _o_s_p_p    FMT_MOF_EXT.1
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000324-GPOS-00125
│ │ │ │              _a_n_s_s_i   R33
│ │ │ │              _p_c_i_d_s_s_4 2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1378,14 +1361,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "sudo"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  VVeerriiffyy GGrroouupp WWhhoo OOwwnnss //eettcc//ssuuddooeerrss..dd DDiirreeccttoorryy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To properly set the group owner of /etc/sudoers.d, run the command:
│ │ │ │  $ sudo chgrp root /etc/sudoers.d
│ │ │ │              The ownership of the /etc/sudoers.d directory by the root group is important because this
│ │ │ │  Rationale:  directory hosts sudo configuration. Protection of this directory is critical for system
│ │ │ │              security. Assigning the ownership to root ensures exclusive control of the sudo
│ │ │ │              configuration.
│ │ │ │ @@ -3948,31 +3948,14 @@
│ │ │ │  Rationale:  password in resisting attempts at guessing and brute-force attacks. "pwquality" enforces
│ │ │ │              complex password construction configuration and has the ability to limit brute-force
│ │ │ │              attacks on the system.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │  References: _d_i_s_a   CCI-000366
│ │ │ │              _o_s_-_s_r_g SRG-OS-000480-GPOS-00225
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4007,14 +3990,31 @@
│ │ │ │  q '^installed'; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-pwquality"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Protect Physical Console Access   Group contains 1 rule
│ │ │ │  _[_r_e_f_]   It is impossible to fully protect a system from an attacker with physical access, so securing
│ │ │ │  the space in which the system is located should be considered a necessary step. However, there are
│ │ │ │  some steps which, if taken, make it more difficult for an attacker to quickly or undetectably modify
│ │ │ │  a system from its console.
│ │ │ │  ****** RRuullee? ?  CCoonnffiigguurree LLooggiinndd ttoo tteerrmmiinnaattee iiddllee sseessssiioonnss aafftteerr cceerrttaaiinn ttiimmee ooff iinnaaccttiivviittyy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To configure logind service to terminate inactive user sessions after 600 seconds, edit the file /
│ │ │ │ @@ -5393,31 +5393,14 @@
│ │ │ │              Control system will be available.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_apparmor_installed
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002235
│ │ │ │  References: _o_s_-_s_r_g SRG-OS-000368-GPOS-00154, SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-
│ │ │ │                     OS-000312-GPOS-00124, SRG-OS-000324-GPOS-00125, SRG-OS-000370-GPOS-00155
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "apparmor"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_apparmor
│ │ │ │ -
│ │ │ │ -class install_apparmor {
│ │ │ │ -  package { 'apparmor':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Ensure apparmor is installed
│ │ │ │    package:
│ │ │ │ @@ -5440,44 +5423,44 @@
│ │ │ │  if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ -****** RRuullee? ?  IInnssttaallll tthhee ppaamm__aappppaarrmmoorr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The pam_apparmor package can be installed with the following command:
│ │ │ │ -$ apt-get install pam_apparmor
│ │ │ │ -Rationale:  Protection of system integrity using AppArmor depends on this package being installed.
│ │ │ │ -Severity:   medium
│ │ │ │ -Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_apparmor_installed
│ │ │ │ -            _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │ -            _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │ -                   SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │ -References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │ -                   000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │ -                   000480-GPOS-00232
│ │ │ │ -            _a_n_s_s_i  R45
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  
│ │ │ │  [[packages]]
│ │ │ │ -name = "libpam-apparmor"
│ │ │ │ +name = "apparmor"
│ │ │ │  version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-apparmor
│ │ │ │ +include install_apparmor
│ │ │ │  
│ │ │ │ -class install_libpam-apparmor {
│ │ │ │ -  package { 'libpam-apparmor':
│ │ │ │ +class install_apparmor {
│ │ │ │ +  package { 'apparmor':
│ │ │ │      ensure => 'installed',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  IInnssttaallll tthhee ppaamm__aappppaarrmmoorr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The pam_apparmor package can be installed with the following command:
│ │ │ │ +$ apt-get install pam_apparmor
│ │ │ │ +Rationale:  Protection of system integrity using AppArmor depends on this package being installed.
│ │ │ │ +Severity:   medium
│ │ │ │ +Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_apparmor_installed
│ │ │ │ +            _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │ +            _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │ +                   SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │ +References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │ +                   000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │ +                   000480-GPOS-00232
│ │ │ │ +            _a_n_s_s_i  R45
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Ensure libpam-apparmor is installed
│ │ │ │    package:
│ │ │ │ @@ -5507,14 +5490,31 @@
│ │ │ │  if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-apparmor"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-apparmor
│ │ │ │ +
│ │ │ │ +class install_libpam-apparmor {
│ │ │ │ +  package { 'libpam-apparmor':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnffoorrccee aallll AAppppAArrmmoorr PPrrooffiilleess ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  AppArmor profiles define what resources applications are able to access. To set all profiles to
│ │ │ │  enforce mode run the following command:
│ │ │ │  $ sudo aa-enforce /etc/apparmor.d/*
│ │ │ │  To list unconfined processes run the following command:
│ │ │ │  $ sudo apparmor_status | grep processes
│ │ │ │  Any unconfined processes may need to have a profile created or activated for them and then be
│ │ │ │ @@ -5684,31 +5684,14 @@
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │              _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │                     SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │  References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │                     000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │                     000480-GPOS-00232
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["apparmor"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_apparmor
│ │ │ │ -
│ │ │ │ -class enable_apparmor {
│ │ │ │ -  service {'apparmor':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  - name: Start apparmor.service
│ │ │ │    systemd:
│ │ │ │      name: apparmor.service
│ │ │ │      state: started
│ │ │ │      enabled: true
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │ @@ -5718,14 +5701,31 @@
│ │ │ │    - NIST-800-53-AC-6(8)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(2)
│ │ │ │    - NIST-800-53-CM-7(5)(b)
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - apparmor_configured
│ │ │ │    - medium_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["apparmor"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_apparmor
│ │ │ │ +
│ │ │ │ +class enable_apparmor {
│ │ │ │ +  service {'apparmor':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree AAppppAArrmmoorr iiss eennaabblleedd iinn tthhee bboooottllooaaddeerr ccoonnffiigguurraattiioonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Configure AppArmor to be enabled at boot time and verify that it has not been overwritten by the
│ │ │ │  bootloader boot parameters. Note: This recommendation is designed around the grub bootloader, if LILO
│ │ │ │  or another bootloader is in use in your environment, enact equivalent settings.
│ │ │ │  Rationale:  AppArmor must be enabled at boot time in your bootloader configuration to ensure that the
│ │ │ │              controls it provides are not overridden.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -11000,31 +11000,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │  References: _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.7
│ │ │ │              _a_n_s_s_i          R71
│ │ │ │              _p_c_i_d_s_s_4        10.5.1, 10.5
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -11067,14 +11050,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree LLooggrroottaattee RRuunnss PPeerriiooddiiccaallllyy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The logrotate utility allows for the automatic rotation of log files. The frequency of rotation is
│ │ │ │  specified in /etc/logrotate.conf, which triggers a cron task or a timer. To configure logrotate to
│ │ │ │  run daily, add or correct the following line in /etc/logrotate.conf:
│ │ │ │  # rotate log files frequency
│ │ │ │  daily
│ │ │ │              Log files that are not properly rotated run the risk of growing so large that they fill
│ │ │ │ @@ -11394,31 +11394,14 @@
│ │ │ │  Rationale:  The rsyslog-gnutls package provides Transport Layer Security (TLS) support for the
│ │ │ │              rsyslog daemon, which enables secure remote logging.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsyslog-gnutls_installed
│ │ │ │              _d_i_s_a   CCI-000366, CCI-000803
│ │ │ │  References: _o_s_-_s_r_g SRG-OS-000480-GPOS-00227, SRG-OS-000120-GPOS-00061
│ │ │ │              _a_n_s_s_i  R71
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog-gnutls"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog-gnutls
│ │ │ │ -
│ │ │ │ -class install_rsyslog-gnutls {
│ │ │ │ -  package { 'rsyslog-gnutls':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -11453,14 +11436,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog-gnutls"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog-gnutls"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog-gnutls
│ │ │ │ +
│ │ │ │ +class install_rsyslog-gnutls {
│ │ │ │ +  package { 'rsyslog-gnutls':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides system logging services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsyslog_installed
│ │ │ │              _c_i_s_-_c_s_c        1, 14, 15, 16, 3, 5, 6
│ │ │ │ @@ -11470,31 +11470,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024, SRG-OS-000480-GPOS-
│ │ │ │                             00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -11531,14 +11514,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 12. The rsyslog service can
│ │ │ │  be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging services, which are
│ │ │ │              essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -11552,31 +11552,14 @@
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.2.6.7, 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1, SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1, A.14.2.7,
│ │ │ │                             A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -11612,14 +11595,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Configuration and Firewalls   Group contains 8 groups and 53 rules
│ │ │ │  _[_r_e_f_]   Most systems must be connected to a network of some sort, and this brings with it the
│ │ │ │  substantial risk of network attack. This section discusses the security impact of decisions about
│ │ │ │  networking which must be made when configuring a system.
│ │ │ │  
│ │ │ │  This section also discusses firewalls, network access controls, and other network security
│ │ │ │  frameworks, which allow system-level rules to be written that can limit an attackers' ability to
│ │ │ │ @@ -28104,26 +28104,14 @@
│ │ │ │  around configuration errors, unauthorized intrusions, and other potential errors. The
│ │ │ │  setroubleshoot-plugins package can be removed with the following command:
│ │ │ │  $ apt-get remove setroubleshoot-plugins
│ │ │ │  Rationale:  The SETroubleshoot service is an unnecessary daemon to have running on a server.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_setroubleshoot-plugins_removed
│ │ │ │  References: _a_n_s_s_i R49
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_setroubleshoot-plugins
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-plugins {
│ │ │ │ -  package { 'setroubleshoot-plugins':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -28164,35 +28152,35 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "setroubleshoot-plugins"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll sseettrroouubblleesshhoooott--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The SETroubleshoot service notifies desktop users of SELinux denials. The service provides
│ │ │ │ -information around configuration errors, unauthorized intrusions, and other potential errors. The
│ │ │ │ -setroubleshoot-server package can be removed with the following command:
│ │ │ │ -$ apt-get remove setroubleshoot-server
│ │ │ │ -Rationale:  The SETroubleshoot service is an unnecessary daemon to have running on a server.
│ │ │ │ -Severity:   low
│ │ │ │ -Rule ID:    xccdf_org.ssgproject.content_rule_package_setroubleshoot-server_removed
│ │ │ │ -References: _a_n_s_s_i R49
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_setroubleshoot-server
│ │ │ │ +include remove_setroubleshoot-plugins
│ │ │ │  
│ │ │ │ -class remove_setroubleshoot-server {
│ │ │ │ -  package { 'setroubleshoot-server':
│ │ │ │ +class remove_setroubleshoot-plugins {
│ │ │ │ +  package { 'setroubleshoot-plugins':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll sseettrroouubblleesshhoooott--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The SETroubleshoot service notifies desktop users of SELinux denials. The service provides
│ │ │ │ +information around configuration errors, unauthorized intrusions, and other potential errors. The
│ │ │ │ +setroubleshoot-server package can be removed with the following command:
│ │ │ │ +$ apt-get remove setroubleshoot-server
│ │ │ │ +Rationale:  The SETroubleshoot service is an unnecessary daemon to have running on a server.
│ │ │ │ +Severity:   low
│ │ │ │ +Rule ID:    xccdf_org.ssgproject.content_rule_package_setroubleshoot-server_removed
│ │ │ │ +References: _a_n_s_s_i R49
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -28233,36 +28221,36 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "setroubleshoot-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_setroubleshoot-server
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-server {
│ │ │ │ +  package { 'setroubleshoot-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll sseettrroouubblleesshhoooott PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The SETroubleshoot service notifies desktop users of SELinux denials. The service provides
│ │ │ │  information around configuration errors, unauthorized intrusions, and other potential errors. The
│ │ │ │  setroubleshoot package can be removed with the following command:
│ │ │ │  $ apt-get remove setroubleshoot
│ │ │ │  Rationale:  The SETroubleshoot service is an unnecessary daemon to have running on a server,
│ │ │ │              especially if X Windows is removed or disabled.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_setroubleshoot_removed
│ │ │ │  References: _a_n_s_s_i R49
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_setroubleshoot
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot {
│ │ │ │ -  package { 'setroubleshoot':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -28303,14 +28291,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "setroubleshoot"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_setroubleshoot
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot {
│ │ │ │ +  package { 'setroubleshoot':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  VVeerriiffyy GGrroouupp WWhhoo OOwwnnss //eettcc//sseelliinnuuxx DDiirreeccttoorryy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To properly set the group owner of /etc/selinux, run the command:
│ │ │ │  $ sudo chgrp root /etc/selinux
│ │ │ │              The ownership of the /etc/selinux directory by the root group is important because this
│ │ │ │  Rationale:  directory hosts SELinux configuration. Protection of this directory is critical for
│ │ │ │              system security. Assigning the ownership to root ensures exclusive control of the SELinux
│ │ │ │              configuration.
│ │ │ │ @@ -28723,26 +28723,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │ @@ -28769,33 +28757,33 @@
│ │ │ │  # CAUTION: This remediation script will remove dhcp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on dhcp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "dhcp"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │ -Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │ -            disrupt network operation.
│ │ │ │ -Severity:   medium
│ │ │ │ -Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │ -References: _a_n_s_s_i R62
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_kea
│ │ │ │ +include remove_dhcp
│ │ │ │  
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │ +Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │ +            disrupt network operation.
│ │ │ │ +Severity:   medium
│ │ │ │ +Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │ +References: _a_n_s_s_i R62
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │ @@ -28817,14 +28805,26 @@
│ │ │ │  # CAUTION: This remediation script will remove kea
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on kea. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "kea"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Mail Server Software   Group contains 1 group and 3 rules
│ │ │ │  _[_r_e_f_]   Mail servers are used to send and receive email over the network. Mail is a very common
│ │ │ │  service, and Mail Transfer Agents (MTAs) are obvious targets of network attack. Ensure that systems
│ │ │ │  are not running MTAs unnecessarily, and configure needed MTAs as defensively as possible.
│ │ │ │  
│ │ │ │  Very few systems at any site should be configured to directly receive email over the network. Users
│ │ │ │  should instead use mail client programs to retrieve email from a central server that supports
│ │ │ │ @@ -28999,26 +28999,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227, SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29065,14 +29053,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "sendmail"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 6 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a network. Computer clocks
│ │ │ │  are not very accurate, so time will drift unpredictably on unmanaged systems. Central time protocols
│ │ │ │  can be used both to ensure that time is consistent among a network of systems, and that their time is
│ │ │ │  consistent with the outside world.
│ │ │ │  
│ │ │ │  If every system on a network reliably reports the same time, then it is much easier to correlate log
│ │ │ │ @@ -29124,31 +29124,14 @@
│ │ │ │              _d_i_s_a    CCI-004923
│ │ │ │              _i_s_m     0988, 1405
│ │ │ │              _o_s_p_p    FMT_SMF_EXT.1
│ │ │ │  References: _p_c_i_d_s_s  Req-10.4
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000355-GPOS-00143
│ │ │ │              _a_n_s_s_i   R71
│ │ │ │              _p_c_i_d_s_s_4 10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29189,14 +29172,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee tthhee NNTTPP DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Run the following command to determine the current status of the chrony service:
│ │ │ │  $ sudo systemctl is-active chrony
│ │ │ │  If the service is running, it should return the following:
│ │ │ │  active
│ │ │ │  Note: The chronyd daemon is enabled by default.
│ │ │ │  
│ │ │ │ @@ -29586,26 +29586,14 @@
│ │ │ │                             5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29656,14 +29644,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "xinetd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   NIS   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Information Service (NIS), also known as 'Yellow Pages' (YP), and its successor
│ │ │ │  NIS+ have been made obsolete by Kerberos, LDAP, and other modern centralized authentication services.
│ │ │ │  NIS should not be used because it suffers from security problems inherent in its design, such as
│ │ │ │  inadequate protection of important authentication information.
│ │ │ │  ****** RRuullee? ?  RReemmoovvee NNIISS CClliieenntt ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The Network Information Service (NIS), formerly known as Yellow Pages, is a client-server directory
│ │ │ │ @@ -29675,26 +29675,14 @@
│ │ │ │              recommended that the service be removed.
│ │ │ │  Severity:   unknown
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_ypbind_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │ @@ -29718,14 +29706,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ypbind-mt
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypbind-mt. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypbind-mt"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll yyppsseerrvv PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ypserv package can be removed with the following command:
│ │ │ │  $ apt-get remove ypserv
│ │ │ │              The NIS service provides an unencrypted authentication service which does not provide for
│ │ │ │  Rationale:  the confidentiality and integrity of user passwords or the remote session. Removing the
│ │ │ │              ypserv package decreases the risk of the accidental (or intentional) activation of NIS or
│ │ │ │              NIS+ services.
│ │ │ │ @@ -29749,26 +29749,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │ @@ -29797,14 +29785,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ypserv
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypserv. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypserv"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Rlogin, Rsh, and Rexec   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Berkeley r-commands are legacy services which allow cleartext remote access and have an
│ │ │ │  insecure trust model.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll rrsshh--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsh-server package can be removed with the following command:
│ │ │ │  $ apt-get remove rsh-server
│ │ │ │              The rsh-server service provides unencrypted remote access service which does not provide
│ │ │ │ @@ -29832,26 +29832,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │ @@ -29879,14 +29867,26 @@
│ │ │ │  # CAUTION: This remediation script will remove rsh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll rrsshh PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsh package contains the client commands for the rsh services
│ │ │ │              These legacy clients contain numerous security exposures and have been replaced with the
│ │ │ │              more secure SSH package. Even if the server is removed, it is best to ensure the clients
│ │ │ │  Rationale:  are also removed to prevent users from inadvertently attempting to use these commands and
│ │ │ │              therefore exposing their credentials. Note that removing the rsh package removes the
│ │ │ │              clients for rsh,rcp, and rlogin.
│ │ │ │ @@ -29894,26 +29894,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsh_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │ @@ -29938,14 +29926,26 @@
│ │ │ │  # CAUTION: This remediation script will remove rsh
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Chat/Messaging Services   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The talk software makes it possible for users to send and receive messages across systems
│ │ │ │  through a terminal session.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttaallkk--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The talk-server package can be removed with the following command:
│ │ │ │   $ apt-get remove talk-server
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols for
│ │ │ │ @@ -29953,26 +29953,14 @@
│ │ │ │              intentional) activation of talk services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk-server_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │ @@ -29996,14 +29984,26 @@
│ │ │ │  # CAUTION: This remediation script will remove talk-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttaallkk PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The talk package contains the client program for the Internet talk protocol, which allows the user
│ │ │ │  to chat with other users on different systems. Talk is a communication program which copies lines
│ │ │ │  from one terminal to the terminal of another user. The talk package can be removed with the
│ │ │ │  following command:
│ │ │ │  $ apt-get remove talk
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols for
│ │ │ │ @@ -30011,26 +30011,14 @@
│ │ │ │              intentional) activation of talk client program.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │ @@ -30054,14 +30042,26 @@
│ │ │ │  # CAUTION: This remediation script will remove talk
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Telnet   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The telnet protocol does not provide confidentiality or integrity for information transmitted
│ │ │ │  on the network. This includes authentication information such as passwords. Organizations which use
│ │ │ │  telnet should be actively working to migrate to a more secure protocol.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tteellnneett--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet-server package can be removed with the following command:
│ │ │ │  $ apt-get remove telnet-server
│ │ │ │ @@ -30095,26 +30095,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │ @@ -30142,39 +30130,39 @@
│ │ │ │  # CAUTION: This remediation script will remove telnet-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  RReemmoovvee tteellnneett CClliieennttss ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet client allows users to start connections to other systems via the telnet protocol.
│ │ │ │              The telnet protocol is insecure and unencrypted. The use of an unencrypted transmission
│ │ │ │  Rationale:  medium could allow an unauthorized user to steal credentials. The ssh package provides an
│ │ │ │              encrypted session and stronger security and is included in Debian 12.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnet_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │ @@ -30199,14 +30187,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnet
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   TFTP Server   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   TFTP is a lightweight version of the FTP protocol which has traditionally been used to
│ │ │ │  configure networking equipment. However, TFTP provides little security, and modern versions of
│ │ │ │  networking operating systems frequently support configuration via SSH or other more secure protocols.
│ │ │ │  A TFTP server should be run only if no more secure method of supporting existing equipment can be
│ │ │ │  found.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttffttpp--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ @@ -30236,26 +30236,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │ @@ -30282,39 +30270,39 @@
│ │ │ │  # CAUTION: This remediation script will remove tftp-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  RReemmoovvee ttffttpp DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Trivial File Transfer Protocol (TFTP) is a simple file transfer protocol, typically used to
│ │ │ │  automatically transfer configuration or boot files between systems. TFTP does not support
│ │ │ │  authentication and can be easily hacked. The package tftp is a client program that allows for
│ │ │ │  connections to a tftp server.
│ │ │ │  Rationale:  It is recommended that TFTP be removed, unless there is a specific need for TFTP (such as
│ │ │ │              a boot server). In that case, use extreme caution when configuring the services.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_tftp_removed
│ │ │ │              _d_i_s_a    CCI-000197
│ │ │ │  References: _o_s_-_s_r_g  SRG-OS-000074-GPOS-00042
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │ @@ -30338,14 +30326,26 @@
│ │ │ │  # CAUTION: This remediation script will remove tftp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 10 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file transfer. SSH provides
│ │ │ │  confidentiality and integrity for data exchanged between two systems, as well as server
│ │ │ │  authentication, through the use of public key cryptography. The implementation included with the
│ │ │ │  system is called OpenSSH, and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM package openssh-server.
│ │ │ │  Group   Configure OpenSSH Server if Necessary   Group contains 1 rule
│ │ │ │ @@ -31089,23 +31089,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -31189,14 +31180,23 @@
│ │ │ │          echo "Key-like file '$keyfile' is owned by an unexpected user:group combination"
│ │ │ │      fi
│ │ │ │  done
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  VVeerriiffyy PPeerrmmiissssiioonnss oonn SSSSHH SSeerrvveerr PPuubblliicc **..ppuubb KKeeyy FFiilleess ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To properly set the permissions of /etc/ssh/*.pub, run the command:
│ │ │ │  $ sudo chmod 0644 /etc/ssh/*.pub
│ │ │ │  Warning:  Remediation is not possible at bootable container build time because SSH host keys are
│ │ │ │  generated post-deployment.
│ │ │ │  Rationale:  If a public host key file is modified by an unauthorized user, the SSH service may be
│ │ │ │              compromised.
│ │ │ │ @@ -31216,23 +31216,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -31311,14 +31302,23 @@
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex
│ │ │ │  '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   System Accounting with auditd   Group contains 8 groups and 52 rules
│ │ │ │  _[_r_e_f_]   The audit service provides substantial capabilities for recording system activities. By
│ │ │ │  default, the service audits about SELinux AVC denials and certain types of security-relevant events
│ │ │ │  such as system logins, account modifications, and authentication events performed by programs such as
│ │ │ │  sudo. Under its default configuration, auditd has modest disk space requirements, and should not
│ │ │ │  noticeably impact system performance.
│ │ │ │  
│ │ │ │ @@ -65623,31 +65623,14 @@
│ │ │ │              _o_s_-_s_r_g   SRG-OS-000122-GPOS-00063, SRG-OS-000254-GPOS-00095, SRG-OS-000255-GPOS-00096,
│ │ │ │                       SRG-OS-000337-GPOS-00129, SRG-OS-000348-GPOS-00136, SRG-OS-000349-GPOS-00137,
│ │ │ │                       SRG-OS-000350-GPOS-00138, SRG-OS-000351-GPOS-00139, SRG-OS-000352-GPOS-00140,
│ │ │ │                       SRG-OS-000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-000358-GPOS-00145,
│ │ │ │                       SRG-OS-000365-GPOS-00152, SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -65702,14 +65685,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing System, as it is
│ │ │ │  responsible for writing audit records to disk. The auditd service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be difficult to establish,
│ │ │ │              correlate, and investigate the events leading up to an outage or attack. Ensuring the
│ │ │ │ @@ -65759,31 +65759,14 @@
│ │ │ │                             GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-000353-GPOS-00141, SRG-OS-
│ │ │ │                             000354-GPOS-00142, SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-000990, SRG-APP-000508-CTR-
│ │ │ │                             001300, SRG-APP-000510-CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -65849,11 +65832,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_bp28_intermediary.html
│ │ │ @@ -15028,185 +15028,185 @@
│ │ │  0003ab30: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  0003ab40: 2223 6964 6d32 3638 3322 2074 6162 696e  "#idm2683" tabin
│ │ │  0003ab50: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  0003ab60: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  0003ab70: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  0003ab80: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  0003ab90: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0003aba0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -0003abb0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -0003abc0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0003abd0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0003abe0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0003abf0: 6c61 7073 6522 2069 643d 2269 646d 3236  lapse" id="idm26
│ │ │ -0003ac00: 3833 223e 3c70 7265 3e3c 636f 6465 3e0a  83"><pre><code>.
│ │ │ -0003ac10: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ -0003ac20: 6520 3d20 2261 6964 6522 0a76 6572 7369  e = "aide".versi
│ │ │ -0003ac30: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ -0003ac40: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0003ac50: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0003ac60: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0003ac70: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0003ac80: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -0003ac90: 3638 3422 2074 6162 696e 6465 783d 2230  684" tabindex="0
│ │ │ -0003aca0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0003acb0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0003acc0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0003acd0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0003ace0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0003acf0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -0003ad00: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0003ad10: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0003ad20: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0003ad30: 6170 7365 2220 6964 3d22 6964 6d32 3638  apse" id="idm268
│ │ │ -0003ad40: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ -0003ad50: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0003ad60: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0003ad70: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0003ad80: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0003ad90: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0003ada0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0003adb0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0003adc0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0003add0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0003ade0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0003adf0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0003ae00: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0003ae10: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0003ae20: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0003ae30: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -0003ae40: 6465 2069 6e73 7461 6c6c 5f61 6964 650a  de install_aide.
│ │ │ -0003ae50: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f61  .class install_a
│ │ │ -0003ae60: 6964 6520 7b0a 2020 7061 636b 6167 6520  ide {.  package 
│ │ │ -0003ae70: 7b20 2761 6964 6527 3a0a 2020 2020 656e  { 'aide':.    en
│ │ │ -0003ae80: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ -0003ae90: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ -0003aea0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0003aeb0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0003aec0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0003aed0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0003aee0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0003aef0: 2369 646d 3236 3835 2220 7461 6269 6e64  #idm2685" tabind
│ │ │ -0003af00: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0003af10: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0003af20: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0003af30: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0003af40: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0003af50: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -0003af60: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -0003af70: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0003af80: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0003af90: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0003afa0: 6964 6d32 3638 3522 3e3c 7461 626c 6520  idm2685"><table 
│ │ │ -0003afb0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0003afc0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0003afd0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0003afe0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0003aff0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0003b000: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0003b010: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0003b020: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0003b030: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0003b040: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0003b050: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0003b060: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0003b070: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0003b080: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0003b090: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0003b0a0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -0003b0b0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -0003b0c0: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -0003b0d0: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -0003b0e0: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -0003b0f0: 2043 4a49 532d 352e 3130 2e31 2e33 0a20   CJIS-5.10.1.3. 
│ │ │ -0003b100: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0003b110: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -0003b120: 5353 2d52 6571 2d31 312e 350a 2020 2d20  SS-Req-11.5.  - 
│ │ │ -0003b130: 5043 492d 4453 5376 342d 3131 2e35 2e32  PCI-DSSv4-11.5.2
│ │ │ -0003b140: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -0003b150: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -0003b160: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0003b170: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -0003b180: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -0003b190: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0003b1a0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0003b1b0: 6169 6465 5f69 6e73 7461 6c6c 6564 0a0a  aide_installed..
│ │ │ -0003b1c0: 2d20 6e61 6d65 3a20 456e 7375 7265 2061  - name: Ensure a
│ │ │ -0003b1d0: 6964 6520 6973 2069 6e73 7461 6c6c 6564  ide is installed
│ │ │ -0003b1e0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -0003b1f0: 6e61 6d65 3a20 6169 6465 0a20 2020 2073  name: aide.    s
│ │ │ -0003b200: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -0003b210: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -0003b220: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -0003b230: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0003b240: 2074 6167 733a 0a20 202d 2043 4a49 532d   tags:.  - CJIS-
│ │ │ -0003b250: 352e 3130 2e31 2e33 0a20 202d 204e 4953  5.10.1.3.  - NIS
│ │ │ -0003b260: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0003b270: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0003b280: 2d31 312e 350a 2020 2d20 5043 492d 4453  -11.5.  - PCI-DS
│ │ │ -0003b290: 5376 342d 3131 2e35 2e32 0a20 202d 2065  Sv4-11.5.2.  - e
│ │ │ -0003b2a0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0003b2b0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0003b2c0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0003b2d0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0003b2e0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0003b2f0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0003b300: 2d20 7061 636b 6167 655f 6169 6465 5f69  - package_aide_i
│ │ │ -0003b310: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ -0003b320: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0003b330: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0003b340: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0003b350: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0003b360: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -0003b370: 3638 3622 2074 6162 696e 6465 783d 2230  686" tabindex="0
│ │ │ -0003b380: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0003b390: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0003b3a0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0003b3b0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0003b3c0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0003b3d0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0003b3e0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0003b3f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0003b400: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0003b410: 7365 2220 6964 3d22 6964 6d32 3638 3622  se" id="idm2686"
│ │ │ -0003b420: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0003b430: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0003b440: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0003b450: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0003b460: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0003b470: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0003b480: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0003b490: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0003b4a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0003b4b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0003b4c0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0003b4d0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0003b4e0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0003b4f0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0003b500: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0003b510: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ -0003b520: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ -0003b530: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ -0003b540: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ -0003b550: 6620 6470 6b67 2d71 7565 7279 202d 2d73  f dpkg-query --s
│ │ │ -0003b560: 686f 7720 2d2d 7368 6f77 666f 726d 6174  how --showformat
│ │ │ -0003b570: 3d27 247b 6462 3a53 7461 7475 732d 5374  ='${db:Status-St
│ │ │ -0003b580: 6174 7573 7d0a 2720 276c 696e 7578 2d62  atus}.' 'linux-b
│ │ │ -0003b590: 6173 6527 2032 2667 743b 2f64 6576 2f6e  ase' 2&gt;/dev/n
│ │ │ -0003b5a0: 756c 6c20 7c20 6772 6570 202d 7120 5e69  ull | grep -q ^i
│ │ │ -0003b5b0: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a  nstalled; then..
│ │ │ -0003b5c0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -0003b5d0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -0003b5e0: 7074 2d67 6574 2069 6e73 7461 6c6c 202d  pt-get install -
│ │ │ -0003b5f0: 7920 2261 6964 6522 0a0a 656c 7365 0a20  y "aide"..else. 
│ │ │ -0003b600: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ -0003b610: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ -0003b620: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ -0003b630: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ -0003b640: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +0003aba0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +0003abb0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +0003abc0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0003abd0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0003abe0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0003abf0: 2269 646d 3236 3833 223e 3c74 6162 6c65  "idm2683"><table
│ │ │ +0003ac00: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0003ac10: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0003ac20: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0003ac30: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0003ac40: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0003ac50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0003ac60: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0003ac70: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0003ac80: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0003ac90: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0003aca0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0003acb0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0003acc0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0003acd0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0003ace0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0003acf0: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +0003ad00: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +0003ad10: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +0003ad20: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +0003ad30: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +0003ad40: 2d20 434a 4953 2d35 2e31 302e 312e 330a  - CJIS-5.10.1.3.
│ │ │ +0003ad50: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0003ad60: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +0003ad70: 4453 532d 5265 712d 3131 2e35 0a20 202d  DSS-Req-11.5.  -
│ │ │ +0003ad80: 2050 4349 2d44 5353 7634 2d31 312e 352e   PCI-DSSv4-11.5.
│ │ │ +0003ad90: 320a 2020 2d20 656e 6162 6c65 5f73 7472  2.  - enable_str
│ │ │ +0003ada0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0003adb0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0003adc0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0003add0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0003ade0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0003adf0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +0003ae00: 5f61 6964 655f 696e 7374 616c 6c65 640a  _aide_installed.
│ │ │ +0003ae10: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ +0003ae20: 6169 6465 2069 7320 696e 7374 616c 6c65  aide is installe
│ │ │ +0003ae30: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +0003ae40: 206e 616d 653a 2061 6964 650a 2020 2020   name: aide.    
│ │ │ +0003ae50: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +0003ae60: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +0003ae70: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +0003ae80: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0003ae90: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ +0003aea0: 2d35 2e31 302e 312e 330a 2020 2d20 4e49  -5.10.1.3.  - NI
│ │ │ +0003aeb0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0003aec0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +0003aed0: 712d 3131 2e35 0a20 202d 2050 4349 2d44  q-11.5.  - PCI-D
│ │ │ +0003aee0: 5353 7634 2d31 312e 352e 320a 2020 2d20  SSv4-11.5.2.  - 
│ │ │ +0003aef0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +0003af00: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0003af10: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0003af20: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +0003af30: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +0003af40: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0003af50: 202d 2070 6163 6b61 6765 5f61 6964 655f   - package_aide_
│ │ │ +0003af60: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +0003af70: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0003af80: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0003af90: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0003afa0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0003afb0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0003afc0: 3236 3834 2220 7461 6269 6e64 6578 3d22  2684" tabindex="
│ │ │ +0003afd0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0003afe0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0003aff0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0003b000: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0003b010: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0003b020: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +0003b030: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +0003b040: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0003b050: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0003b060: 7073 6522 2069 643d 2269 646d 3236 3834  pse" id="idm2684
│ │ │ +0003b070: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0003b080: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0003b090: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0003b0a0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0003b0b0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0003b0c0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0003b0d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0003b0e0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0003b0f0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0003b100: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0003b110: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0003b120: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0003b130: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0003b140: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0003b150: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0003b160: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ +0003b170: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ +0003b180: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ +0003b190: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ +0003b1a0: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ +0003b1b0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ +0003b1c0: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ +0003b1d0: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ +0003b1e0: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ +0003b1f0: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ +0003b200: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ +0003b210: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +0003b220: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +0003b230: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ +0003b240: 2d79 2022 6169 6465 220a 0a65 6c73 650a  -y "aide"..else.
│ │ │ +0003b250: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ +0003b260: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ +0003b270: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ +0003b280: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ +0003b290: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0003b2a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0003b2b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0003b2c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0003b2d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0003b2e0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +0003b2f0: 3638 3522 2074 6162 696e 6465 783d 2230  685" tabindex="0
│ │ │ +0003b300: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0003b310: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0003b320: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0003b330: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0003b340: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0003b350: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +0003b360: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +0003b370: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0003b380: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0003b390: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0003b3a0: 2069 643d 2269 646d 3236 3835 223e 3c70   id="idm2685"><p
│ │ │ +0003b3b0: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ +0003b3c0: 6167 6573 5d5d 0a6e 616d 6520 3d20 2261  ages]].name = "a
│ │ │ +0003b3d0: 6964 6522 0a76 6572 7369 6f6e 203d 2022  ide".version = "
│ │ │ +0003b3e0: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ +0003b3f0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0003b400: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0003b410: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0003b420: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0003b430: 6765 743d 2223 6964 6d32 3638 3622 2074  get="#idm2686" t
│ │ │ +0003b440: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0003b450: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0003b460: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0003b470: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0003b480: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0003b490: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0003b4a0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +0003b4b0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0003b4c0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0003b4d0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0003b4e0: 6964 3d22 6964 6d32 3638 3622 3e3c 7461  id="idm2686"><ta
│ │ │ +0003b4f0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0003b500: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0003b510: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0003b520: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0003b530: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0003b540: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0003b550: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0003b560: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0003b570: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0003b580: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0003b590: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0003b5a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0003b5b0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0003b5c0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0003b5d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0003b5e0: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ +0003b5f0: 7461 6c6c 5f61 6964 650a 0a63 6c61 7373  tall_aide..class
│ │ │ +0003b600: 2069 6e73 7461 6c6c 5f61 6964 6520 7b0a   install_aide {.
│ │ │ +0003b610: 2020 7061 636b 6167 6520 7b20 2761 6964    package { 'aid
│ │ │ +0003b620: 6527 3a0a 2020 2020 656e 7375 7265 203d  e':.    ensure =
│ │ │ +0003b630: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +0003b640: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0003b650: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  0003b660: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  0003b670: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  0003b680: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  0003b690: 2d69 643d 2278 6363 6466 5f6f 7267 2e73  -id="xccdf_org.s
│ │ │  0003b6a0: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │  0003b6b0: 745f 7275 6c65 5f61 6964 655f 6275 696c  t_rule_aide_buil
│ │ │ @@ -17523,182 +17523,182 @@
│ │ │  00044720: 612d 7461 7267 6574 3d22 2369 646d 3337  a-target="#idm37
│ │ │  00044730: 3439 2220 7461 6269 6e64 6578 3d22 3022  49" tabindex="0"
│ │ │  00044740: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00044750: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00044760: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00044770: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00044780: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00044790: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -000447a0: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -000447b0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -000447c0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -000447d0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -000447e0: 6964 3d22 6964 6d33 3734 3922 3e3c 7072  id="idm3749"><pr
│ │ │ -000447f0: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ -00044800: 6765 735d 5d0a 6e61 6d65 203d 2022 7375  ges]].name = "su
│ │ │ -00044810: 646f 220a 7665 7273 696f 6e20 3d20 222a  do".version = "*
│ │ │ -00044820: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00044830: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00044840: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00044850: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00044860: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00044870: 6574 3d22 2369 646d 3337 3530 2220 7461  et="#idm3750" ta
│ │ │ -00044880: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00044890: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -000448a0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -000448b0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -000448c0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -000448d0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000448e0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -000448f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00044900: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00044910: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00044920: 643d 2269 646d 3337 3530 223e 3c74 6162  d="idm3750"><tab
│ │ │ -00044930: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00044940: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00044950: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00044960: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00044970: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00044980: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00044990: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000449a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000449b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000449c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000449d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000449e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000449f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00044a00: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00044a10: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00044a20: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -00044a30: 616c 6c5f 7375 646f 0a0a 636c 6173 7320  all_sudo..class 
│ │ │ -00044a40: 696e 7374 616c 6c5f 7375 646f 207b 0a20  install_sudo {. 
│ │ │ -00044a50: 2070 6163 6b61 6765 207b 2027 7375 646f   package { 'sudo
│ │ │ -00044a60: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00044a70: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -00044a80: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -00044a90: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00044aa0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00044ab0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00044ac0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00044ad0: 2d74 6172 6765 743d 2223 6964 6d33 3735  -target="#idm375
│ │ │ -00044ae0: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ -00044af0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00044b00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00044b10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00044b20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00044b30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00044b40: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00044b50: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00044b60: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00044b70: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00044b80: 7073 6522 2069 643d 2269 646d 3337 3531  pse" id="idm3751
│ │ │ -00044b90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00044ba0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00044bb0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00044bc0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00044bd0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00044be0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00044bf0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00044c00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00044c10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00044c20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00044c30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00044c40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00044c50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00044c60: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00044c70: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00044c80: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00044c90: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -00044ca0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -00044cb0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -00044cc0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -00044cd0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00044ce0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00044cf0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00044d00: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00044d10: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ -00044d20: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00044d30: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00044d40: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00044d50: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00044d60: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00044d70: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00044d80: 6765 5f73 7564 6f5f 696e 7374 616c 6c65  ge_sudo_installe
│ │ │ -00044d90: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ -00044da0: 6520 7375 646f 2069 7320 696e 7374 616c  e sudo is instal
│ │ │ -00044db0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ -00044dc0: 2020 206e 616d 653a 2073 7564 6f0a 2020     name: sudo.  
│ │ │ -00044dd0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00044de0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00044df0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00044e00: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00044e10: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00044e20: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00044e30: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ -00044e40: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -00044e50: 342d 322e 322e 360a 2020 2d20 656e 6162  4-2.2.6.  - enab
│ │ │ -00044e60: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00044e70: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00044e80: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00044e90: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00044ea0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00044eb0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00044ec0: 6163 6b61 6765 5f73 7564 6f5f 696e 7374  ackage_sudo_inst
│ │ │ -00044ed0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ -00044ee0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00044ef0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00044f00: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00044f10: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00044f20: 7461 7267 6574 3d22 2369 646d 3337 3532  target="#idm3752
│ │ │ -00044f30: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00044f40: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00044f50: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00044f60: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00044f70: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00044f80: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00044f90: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -00044fa0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00044fb0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00044fc0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00044fd0: 2069 643d 2269 646d 3337 3532 223e 3c74   id="idm3752"><t
│ │ │ -00044fe0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00044ff0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00045000: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00045010: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00045020: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00045030: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00045040: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00045050: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00045060: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00045070: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00045080: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00045090: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000450a0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -000450b0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -000450c0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -000450d0: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ -000450e0: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ -000450f0: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ -00045100: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ -00045110: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ -00045120: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ -00045130: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ -00045140: 737d 0a27 2027 6c69 6e75 782d 6261 7365  s}.' 'linux-base
│ │ │ -00045150: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c  ' 2&gt;/dev/null
│ │ │ -00045160: 207c 2067 7265 7020 2d71 205e 696e 7374   | grep -q ^inst
│ │ │ -00045170: 616c 6c65 643b 2074 6865 6e0a 0a44 4542  alled; then..DEB
│ │ │ -00045180: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -00045190: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -000451a0: 6765 7420 696e 7374 616c 6c20 2d79 2022  get install -y "
│ │ │ -000451b0: 7375 646f 220a 0a65 6c73 650a 2020 2020  sudo"..else.    
│ │ │ -000451c0: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ -000451d0: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ -000451e0: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ -000451f0: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ -00045200: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +00044790: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +000447a0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000447b0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000447c0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000447d0: 6170 7365 2220 6964 3d22 6964 6d33 3734  apse" id="idm374
│ │ │ +000447e0: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ +000447f0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00044800: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00044810: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00044820: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00044830: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00044840: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00044850: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00044860: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00044870: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00044880: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00044890: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +000448a0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +000448b0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +000448c0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +000448d0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +000448e0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +000448f0: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +00044900: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +00044910: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +00044920: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00044930: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00044940: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00044950: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +00044960: 2e32 2e36 0a20 202d 2065 6e61 626c 655f  .2.6.  - enable_
│ │ │ +00044970: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00044980: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00044990: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +000449a0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +000449b0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +000449c0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +000449d0: 6167 655f 7375 646f 5f69 6e73 7461 6c6c  age_sudo_install
│ │ │ +000449e0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +000449f0: 7265 2073 7564 6f20 6973 2069 6e73 7461  re sudo is insta
│ │ │ +00044a00: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ +00044a10: 2020 2020 6e61 6d65 3a20 7375 646f 0a20      name: sudo. 
│ │ │ +00044a20: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00044a30: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00044a40: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00044a50: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00044a60: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +00044a70: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00044a80: 6129 0a20 202d 2050 4349 2d44 5353 7634  a).  - PCI-DSSv4
│ │ │ +00044a90: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +00044aa0: 7634 2d32 2e32 2e36 0a20 202d 2065 6e61  v4-2.2.6.  - ena
│ │ │ +00044ab0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00044ac0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00044ad0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00044ae0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00044af0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00044b00: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00044b10: 7061 636b 6167 655f 7375 646f 5f69 6e73  package_sudo_ins
│ │ │ +00044b20: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00044b30: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00044b40: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00044b50: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00044b60: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00044b70: 2d74 6172 6765 743d 2223 6964 6d33 3735  -target="#idm375
│ │ │ +00044b80: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ +00044b90: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00044ba0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00044bb0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00044bc0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00044bd0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00044be0: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +00044bf0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00044c00: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00044c10: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00044c20: 2220 6964 3d22 6964 6d33 3735 3022 3e3c  " id="idm3750"><
│ │ │ +00044c30: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00044c40: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00044c50: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00044c60: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00044c70: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00044c80: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00044c90: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00044ca0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00044cb0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00044cc0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00044cd0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00044ce0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00044cf0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00044d00: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00044d10: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00044d20: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ +00044d30: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ +00044d40: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ +00044d50: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ +00044d60: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ +00044d70: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ +00044d80: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ +00044d90: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ +00044da0: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ +00044db0: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ +00044dc0: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ +00044dd0: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +00044de0: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +00044df0: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ +00044e00: 2273 7564 6f22 0a0a 656c 7365 0a20 2020  "sudo"..else.   
│ │ │ +00044e10: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ +00044e20: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ +00044e30: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ +00044e40: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ +00044e50: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +00044e60: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00044e70: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00044e80: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00044e90: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00044ea0: 7461 7267 6574 3d22 2369 646d 3337 3531  target="#idm3751
│ │ │ +00044eb0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00044ec0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00044ed0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00044ee0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00044ef0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00044f00: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00044f10: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +00044f20: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +00044f30: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00044f40: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00044f50: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00044f60: 3d22 6964 6d33 3735 3122 3e3c 7072 653e  ="idm3751"><pre>
│ │ │ +00044f70: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +00044f80: 735d 5d0a 6e61 6d65 203d 2022 7375 646f  s]].name = "sudo
│ │ │ +00044f90: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ +00044fa0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00044fb0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00044fc0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00044fd0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00044fe0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00044ff0: 3d22 2369 646d 3337 3532 2220 7461 6269  ="#idm3752" tabi
│ │ │ +00045000: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00045010: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00045020: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00045030: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00045040: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00045050: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00045060: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00045070: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00045080: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00045090: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000450a0: 2269 646d 3337 3532 223e 3c74 6162 6c65  "idm3752"><table
│ │ │ +000450b0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000450c0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000450d0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000450e0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000450f0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00045100: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00045110: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00045120: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00045130: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00045140: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00045150: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00045160: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00045170: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00045180: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00045190: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000451a0: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ +000451b0: 6c5f 7375 646f 0a0a 636c 6173 7320 696e  l_sudo..class in
│ │ │ +000451c0: 7374 616c 6c5f 7375 646f 207b 0a20 2070  stall_sudo {.  p
│ │ │ +000451d0: 6163 6b61 6765 207b 2027 7375 646f 273a  ackage { 'sudo':
│ │ │ +000451e0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +000451f0: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +00045200: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  00045210: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  00045220: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  00045230: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  00045240: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  00045250: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  00045260: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  00045270: 756c 655f 6469 7265 6374 6f72 795f 6772  ule_directory_gr
│ │ │ @@ -29602,181 +29602,181 @@
│ │ │  00073a10: 7461 7267 6574 3d22 2369 646d 3433 3730  target="#idm4370
│ │ │  00073a20: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00073a30: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  00073a40: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  00073a50: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  00073a60: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  00073a70: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00073a80: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -00073a90: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -00073aa0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00073ab0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00073ac0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00073ad0: 3d22 6964 6d34 3337 3022 3e3c 7072 653e  ="idm4370"><pre>
│ │ │ -00073ae0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ -00073af0: 735d 5d0a 6e61 6d65 203d 2022 6c69 6270  s]].name = "libp
│ │ │ -00073b00: 616d 2d70 7771 7561 6c69 7479 220a 7665  am-pwquality".ve
│ │ │ -00073b10: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -00073b20: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00073b30: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00073b40: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00073b50: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00073b60: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00073b70: 646d 3433 3731 2220 7461 6269 6e64 6578  dm4371" tabindex
│ │ │ -00073b80: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00073b90: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00073ba0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00073bb0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00073bc0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00073bd0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00073be0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00073bf0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00073c00: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00073c10: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00073c20: 3433 3731 223e 3c74 6162 6c65 2063 6c61  4371"><table cla
│ │ │ -00073c30: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00073c40: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00073c50: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00073c60: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00073c70: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00073c80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00073c90: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00073ca0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00073cb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00073cc0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00073cd0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00073ce0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00073cf0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00073d00: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00073d10: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00073d20: 636c 7564 6520 696e 7374 616c 6c5f 6c69  clude install_li
│ │ │ -00073d30: 6270 616d 2d70 7771 7561 6c69 7479 0a0a  bpam-pwquality..
│ │ │ -00073d40: 636c 6173 7320 696e 7374 616c 6c5f 6c69  class install_li
│ │ │ -00073d50: 6270 616d 2d70 7771 7561 6c69 7479 207b  bpam-pwquality {
│ │ │ -00073d60: 0a20 2070 6163 6b61 6765 207b 2027 6c69  .  package { 'li
│ │ │ -00073d70: 6270 616d 2d70 7771 7561 6c69 7479 273a  bpam-pwquality':
│ │ │ -00073d80: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00073d90: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -00073da0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00073db0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00073dc0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00073dd0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00073de0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00073df0: 6172 6765 743d 2223 6964 6d34 3337 3222  arget="#idm4372"
│ │ │ -00073e00: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00073e10: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00073e20: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00073e30: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00073e40: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00073e50: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00073e60: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00073e70: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00073e80: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00073e90: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00073ea0: 6522 2069 643d 2269 646d 3433 3732 223e  e" id="idm4372">
│ │ │ -00073eb0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00073ec0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00073ed0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00073ee0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00073ef0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00073f00: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00073f10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00073f20: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00073f30: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00073f40: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00073f50: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00073f60: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00073f70: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00073f80: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00073f90: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00073fa0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00073fb0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00073fc0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00073fd0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00073fe0: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -00073ff0: 6773 3a0a 2020 2d20 656e 6162 6c65 5f73  gs:.  - enable_s
│ │ │ -00074000: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00074010: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00074020: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00074030: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00074040: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00074050: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00074060: 6765 5f70 616d 5f70 7771 7561 6c69 7479  ge_pam_pwquality
│ │ │ -00074070: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -00074080: 6d65 3a20 456e 7375 7265 206c 6962 7061  me: Ensure libpa
│ │ │ -00074090: 6d2d 7077 7175 616c 6974 7920 6973 2069  m-pwquality is i
│ │ │ -000740a0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -000740b0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6c69  ge:.    name: li
│ │ │ -000740c0: 6270 616d 2d70 7771 7561 6c69 7479 0a20  bpam-pwquality. 
│ │ │ -000740d0: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ -000740e0: 740a 2020 7768 656e 3a20 2722 6c69 6270  t.  when: '"libp
│ │ │ -000740f0: 616d 2d72 756e 7469 6d65 2220 696e 2061  am-runtime" in a
│ │ │ -00074100: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -00074110: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -00074120: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00074130: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00074140: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00074150: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00074160: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00074170: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00074180: 640a 2020 2d20 7061 636b 6167 655f 7061  d.  - package_pa
│ │ │ -00074190: 6d5f 7077 7175 616c 6974 795f 696e 7374  m_pwquality_inst
│ │ │ -000741a0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ -000741b0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000741c0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -000741d0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -000741e0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -000741f0: 7461 7267 6574 3d22 2369 646d 3433 3733  target="#idm4373
│ │ │ -00074200: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00074210: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00074220: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00074230: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00074240: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00074250: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00074260: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -00074270: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00074280: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00074290: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000742a0: 2069 643d 2269 646d 3433 3733 223e 3c74   id="idm4373"><t
│ │ │ -000742b0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -000742c0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000742d0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000742e0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -000742f0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00074300: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00074310: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00074320: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00074330: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00074340: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00074350: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00074360: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00074370: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00074380: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00074390: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -000743a0: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ -000743b0: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ -000743c0: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ -000743d0: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ -000743e0: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ -000743f0: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ -00074400: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ -00074410: 737d 5c6e 2720 276c 6962 7061 6d2d 7275  s}\n' 'libpam-ru
│ │ │ -00074420: 6e74 696d 6527 2032 2667 743b 2f64 6576  ntime' 2&gt;/dev
│ │ │ -00074430: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -00074440: 275e 696e 7374 616c 6c65 6427 3b20 7468  '^installed'; th
│ │ │ -00074450: 656e 0a0a 4445 4249 414e 5f46 524f 4e54  en..DEBIAN_FRONT
│ │ │ -00074460: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ -00074470: 7665 2061 7074 2d67 6574 2069 6e73 7461  ve apt-get insta
│ │ │ -00074480: 6c6c 202d 7920 226c 6962 7061 6d2d 7077  ll -y "libpam-pw
│ │ │ -00074490: 7175 616c 6974 7922 0a0a 656c 7365 0a20  quality"..else. 
│ │ │ -000744a0: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ -000744b0: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ -000744c0: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ -000744d0: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ -000744e0: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +00073a80: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +00073a90: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00073aa0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00073ab0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00073ac0: 7365 2220 6964 3d22 6964 6d34 3337 3022  se" id="idm4370"
│ │ │ +00073ad0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00073ae0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00073af0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00073b00: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00073b10: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00073b20: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00073b30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00073b40: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00073b50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00073b60: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00073b70: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00073b80: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00073b90: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00073ba0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00073bb0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00073bc0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00073bd0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00073be0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00073bf0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00073c00: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00073c10: 6167 733a 0a20 202d 2065 6e61 626c 655f  ags:.  - enable_
│ │ │ +00073c20: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00073c30: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00073c40: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00073c50: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +00073c60: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00073c70: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00073c80: 6167 655f 7061 6d5f 7077 7175 616c 6974  age_pam_pwqualit
│ │ │ +00073c90: 795f 696e 7374 616c 6c65 640a 0a2d 206e  y_installed..- n
│ │ │ +00073ca0: 616d 653a 2045 6e73 7572 6520 6c69 6270  ame: Ensure libp
│ │ │ +00073cb0: 616d 2d70 7771 7561 6c69 7479 2069 7320  am-pwquality is 
│ │ │ +00073cc0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +00073cd0: 6167 653a 0a20 2020 206e 616d 653a 206c  age:.    name: l
│ │ │ +00073ce0: 6962 7061 6d2d 7077 7175 616c 6974 790a  ibpam-pwquality.
│ │ │ +00073cf0: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ +00073d00: 6e74 0a20 2077 6865 6e3a 2027 226c 6962  nt.  when: '"lib
│ │ │ +00073d10: 7061 6d2d 7275 6e74 696d 6522 2069 6e20  pam-runtime" in 
│ │ │ +00073d20: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00073d30: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +00073d40: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +00073d50: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00073d60: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00073d70: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00073d80: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00073d90: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00073da0: 6564 0a20 202d 2070 6163 6b61 6765 5f70  ed.  - package_p
│ │ │ +00073db0: 616d 5f70 7771 7561 6c69 7479 5f69 6e73  am_pwquality_ins
│ │ │ +00073dc0: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00073dd0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00073de0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00073df0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00073e00: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00073e10: 2d74 6172 6765 743d 2223 6964 6d34 3337  -target="#idm437
│ │ │ +00073e20: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ +00073e30: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00073e40: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00073e50: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00073e60: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00073e70: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00073e80: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +00073e90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00073ea0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00073eb0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00073ec0: 2220 6964 3d22 6964 6d34 3337 3122 3e3c  " id="idm4371"><
│ │ │ +00073ed0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00073ee0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00073ef0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00073f00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00073f10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00073f20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00073f30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00073f40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00073f50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00073f60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00073f70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00073f80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00073f90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00073fa0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00073fb0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00073fc0: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ +00073fd0: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ +00073fe0: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ +00073ff0: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ +00074000: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ +00074010: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ +00074020: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ +00074030: 7573 7d5c 6e27 2027 6c69 6270 616d 2d72  us}\n' 'libpam-r
│ │ │ +00074040: 756e 7469 6d65 2720 3226 6774 3b2f 6465  untime' 2&gt;/de
│ │ │ +00074050: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ +00074060: 2027 5e69 6e73 7461 6c6c 6564 273b 2074   '^installed'; t
│ │ │ +00074070: 6865 6e0a 0a44 4542 4941 4e5f 4652 4f4e  hen..DEBIAN_FRON
│ │ │ +00074080: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +00074090: 6976 6520 6170 742d 6765 7420 696e 7374  ive apt-get inst
│ │ │ +000740a0: 616c 6c20 2d79 2022 6c69 6270 616d 2d70  all -y "libpam-p
│ │ │ +000740b0: 7771 7561 6c69 7479 220a 0a65 6c73 650a  wquality"..else.
│ │ │ +000740c0: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ +000740d0: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ +000740e0: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ +000740f0: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ +00074100: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +00074110: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00074120: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00074130: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00074140: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00074150: 7461 2d74 6172 6765 743d 2223 6964 6d34  ta-target="#idm4
│ │ │ +00074160: 3337 3222 2074 6162 696e 6465 783d 2230  372" tabindex="0
│ │ │ +00074170: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00074180: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00074190: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +000741a0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +000741b0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000741c0: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +000741d0: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +000741e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +000741f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00074200: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00074210: 2069 643d 2269 646d 3433 3732 223e 3c70   id="idm4372"><p
│ │ │ +00074220: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ +00074230: 6167 6573 5d5d 0a6e 616d 6520 3d20 226c  ages]].name = "l
│ │ │ +00074240: 6962 7061 6d2d 7077 7175 616c 6974 7922  ibpam-pwquality"
│ │ │ +00074250: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ +00074260: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00074270: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00074280: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00074290: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000742a0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000742b0: 2223 6964 6d34 3337 3322 2074 6162 696e  "#idm4373" tabin
│ │ │ +000742c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000742d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000742e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000742f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00074300: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00074310: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00074320: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00074330: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00074340: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00074350: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00074360: 6964 6d34 3337 3322 3e3c 7461 626c 6520  idm4373"><table 
│ │ │ +00074370: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00074380: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00074390: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000743a0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000743b0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +000743c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000743d0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000743e0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000743f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00074400: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00074410: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00074420: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00074430: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00074440: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00074450: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00074460: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ +00074470: 5f6c 6962 7061 6d2d 7077 7175 616c 6974  _libpam-pwqualit
│ │ │ +00074480: 790a 0a63 6c61 7373 2069 6e73 7461 6c6c  y..class install
│ │ │ +00074490: 5f6c 6962 7061 6d2d 7077 7175 616c 6974  _libpam-pwqualit
│ │ │ +000744a0: 7920 7b0a 2020 7061 636b 6167 6520 7b20  y {.  package { 
│ │ │ +000744b0: 276c 6962 7061 6d2d 7077 7175 616c 6974  'libpam-pwqualit
│ │ │ +000744c0: 7927 3a0a 2020 2020 656e 7375 7265 203d  y':.    ensure =
│ │ │ +000744d0: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +000744e0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  000744f0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  00074500: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00074510: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00074520: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00074530: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  00074540: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00074550: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -100410,142 +100410,142 @@
│ │ │  00188390: 6765 743d 2223 6964 6d32 3030 3435 2220  get="#idm20045" 
│ │ │  001883a0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001883b0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  001883c0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  001883d0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  001883e0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  001883f0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00188400: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00188410: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00188420: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00188430: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00188440: 2069 643d 2269 646d 3230 3034 3522 3e3c   id="idm20045"><
│ │ │ -00188450: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00188460: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00188470: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00188480: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00188490: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001884a0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001884b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001884c0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001884d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001884e0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001884f0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00188500: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00188510: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00188520: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00188530: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00188540: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00188550: 7265 6d6f 7665 5f64 6863 700a 0a63 6c61  remove_dhcp..cla
│ │ │ -00188560: 7373 2072 656d 6f76 655f 6468 6370 207b  ss remove_dhcp {
│ │ │ -00188570: 0a20 2070 6163 6b61 6765 207b 2027 6468  .  package { 'dh
│ │ │ -00188580: 6370 273a 0a20 2020 2065 6e73 7572 6520  cp':.    ensure 
│ │ │ -00188590: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -001885a0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -001885b0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -001885c0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -001885d0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -001885e0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -001885f0: 7461 7267 6574 3d22 2369 646d 3230 3034  target="#idm2004
│ │ │ -00188600: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ -00188610: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00188620: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00188630: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00188640: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00188650: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00188660: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00188670: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00188680: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00188690: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001886a0: 7073 6522 2069 643d 2269 646d 3230 3034  pse" id="idm2004
│ │ │ -001886b0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -001886c0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001886d0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001886e0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001886f0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00188700: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00188710: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00188720: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00188730: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00188740: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00188750: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00188760: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00188770: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00188780: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00188790: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001887a0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001887b0: 6d65 3a20 456e 7375 7265 2064 6863 7020  me: Ensure dhcp 
│ │ │ -001887c0: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -001887d0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -001887e0: 6468 6370 0a20 2020 2073 7461 7465 3a20  dhcp.    state: 
│ │ │ -001887f0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -00188800: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00188810: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -00188820: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -00188830: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00188840: 4d2d 3728 6229 0a20 202d 2050 4349 2d44  M-7(b).  - PCI-D
│ │ │ -00188850: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -00188860: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ -00188870: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -00188880: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00188890: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -001888a0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -001888b0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -001888c0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -001888d0: 0a20 202d 2070 6163 6b61 6765 5f64 6863  .  - package_dhc
│ │ │ -001888e0: 705f 7265 6d6f 7665 640a 3c2f 636f 6465  p_removed.</code
│ │ │ -001888f0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00188900: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00188910: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00188920: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00188930: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00188940: 3230 3034 3722 2074 6162 696e 6465 783d  20047" tabindex=
│ │ │ -00188950: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00188960: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00188970: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00188980: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00188990: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001889a0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -001889b0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -001889c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001889d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001889e0: 6170 7365 2220 6964 3d22 6964 6d32 3030  apse" id="idm200
│ │ │ -001889f0: 3437 223e 3c74 6162 6c65 2063 6c61 7373  47"><table class
│ │ │ -00188a00: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00188a10: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00188a20: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00188a30: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00188a40: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00188a50: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00188a60: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00188a70: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00188a80: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00188a90: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00188aa0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00188ab0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00188ac0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00188ad0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00188ae0: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ -00188af0: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ -00188b00: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ -00188b10: 2077 696c 6c20 7265 6d6f 7665 2064 6863   will remove dhc
│ │ │ -00188b20: 700a 2309 2020 2066 726f 6d20 7468 6520  p.#.   from the 
│ │ │ -00188b30: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ -00188b40: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ -00188b50: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ -00188b60: 7065 6e64 206f 6e20 6468 6370 2e20 4578  pend on dhcp. Ex
│ │ │ -00188b70: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ -00188b80: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ -00188b90: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ -00188ba0: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ -00188bb0: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ -00188bc0: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -00188bd0: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -00188be0: 6574 2072 656d 6f76 6520 2d79 2022 6468  et remove -y "dh
│ │ │ -00188bf0: 6370 220a 3c2f 636f 6465 3e3c 2f70 7265  cp".</code></pre
│ │ │ +00188400: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00188410: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00188420: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00188430: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00188440: 2220 6964 3d22 6964 6d32 3030 3435 223e  " id="idm20045">
│ │ │ +00188450: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00188460: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00188470: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00188480: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00188490: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001884a0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001884b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001884c0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001884d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001884e0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001884f0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00188500: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00188510: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00188520: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00188530: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00188540: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00188550: 2045 6e73 7572 6520 6468 6370 2069 7320   Ensure dhcp is 
│ │ │ +00188560: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ +00188570: 653a 0a20 2020 206e 616d 653a 2064 6863  e:.    name: dhc
│ │ │ +00188580: 700a 2020 2020 7374 6174 653a 2061 6273  p.    state: abs
│ │ │ +00188590: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +001885a0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +001885b0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +001885c0: 2d35 332d 434d 2d37 2861 290a 2020 2d20  -53-CM-7(a).  - 
│ │ │ +001885d0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +001885e0: 2862 290a 2020 2d20 5043 492d 4453 5376  (b).  - PCI-DSSv
│ │ │ +001885f0: 342d 322e 320a 2020 2d20 5043 492d 4453  4-2.2.  - PCI-DS
│ │ │ +00188600: 5376 342d 322e 322e 340a 2020 2d20 6469  Sv4-2.2.4.  - di
│ │ │ +00188610: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +00188620: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00188630: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00188640: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +00188650: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +00188660: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00188670: 2d20 7061 636b 6167 655f 6468 6370 5f72  - package_dhcp_r
│ │ │ +00188680: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +00188690: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +001886a0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +001886b0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +001886c0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +001886d0: 2d74 6172 6765 743d 2223 6964 6d32 3030  -target="#idm200
│ │ │ +001886e0: 3436 2220 7461 6269 6e64 6578 3d22 3022  46" tabindex="0"
│ │ │ +001886f0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00188700: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00188710: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00188720: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00188730: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00188740: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +00188750: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +00188760: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00188770: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00188780: 6522 2069 643d 2269 646d 3230 3034 3622  e" id="idm20046"
│ │ │ +00188790: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +001887a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +001887b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +001887c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +001887d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +001887e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +001887f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00188800: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00188810: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00188820: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00188830: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00188840: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00188850: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00188860: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00188870: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00188880: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ +00188890: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ +001888a0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ +001888b0: 6c6c 2072 656d 6f76 6520 6468 6370 0a23  ll remove dhcp.#
│ │ │ +001888c0: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +001888d0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +001888e0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +001888f0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +00188900: 6420 6f6e 2064 6863 702e 2045 7865 6375  d on dhcp. Execu
│ │ │ +00188910: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ +00188920: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ +00188930: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ +00188940: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ +00188950: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ +00188960: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +00188970: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +00188980: 7265 6d6f 7665 202d 7920 2264 6863 7022  remove -y "dhcp"
│ │ │ +00188990: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +001889a0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +001889b0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +001889c0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +001889d0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +001889e0: 743d 2223 6964 6d32 3030 3437 2220 7461  t="#idm20047" ta
│ │ │ +001889f0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00188a00: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00188a10: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00188a20: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00188a30: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00188a40: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00188a50: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00188a60: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00188a70: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00188a80: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00188a90: 643d 2269 646d 3230 3034 3722 3e3c 7461  d="idm20047"><ta
│ │ │ +00188aa0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00188ab0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00188ac0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00188ad0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00188ae0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00188af0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00188b00: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00188b10: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00188b20: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00188b30: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00188b40: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00188b50: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00188b60: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00188b70: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00188b80: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00188b90: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ +00188ba0: 6d6f 7665 5f64 6863 700a 0a63 6c61 7373  move_dhcp..class
│ │ │ +00188bb0: 2072 656d 6f76 655f 6468 6370 207b 0a20   remove_dhcp {. 
│ │ │ +00188bc0: 2070 6163 6b61 6765 207b 2027 6468 6370   package { 'dhcp
│ │ │ +00188bd0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00188be0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00188bf0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00188c00: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  00188c10: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  00188c20: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  00188c30: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  00188c40: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  00188c50: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  00188c60: 6c65 5f70 6163 6b61 6765 5f6b 6561 5f72  le_package_kea_r
│ │ │ @@ -100663,134 +100663,134 @@
│ │ │  00189360: 6574 3d22 2369 646d 3230 3035 3722 2074  et="#idm20057" t
│ │ │  00189370: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00189380: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00189390: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  001893a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  001893b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  001893c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001893d0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -001893e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -001893f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00189400: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00189410: 6964 3d22 6964 6d32 3030 3537 223e 3c74  id="idm20057"><t
│ │ │ -00189420: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00189430: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00189440: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00189450: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00189460: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00189470: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00189480: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00189490: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -001894a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001894b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -001894c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -001894d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001894e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -001894f0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00189500: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00189510: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -00189520: 656d 6f76 655f 6b65 610a 0a63 6c61 7373  emove_kea..class
│ │ │ -00189530: 2072 656d 6f76 655f 6b65 6120 7b0a 2020   remove_kea {.  
│ │ │ -00189540: 7061 636b 6167 6520 7b20 276b 6561 273a  package { 'kea':
│ │ │ -00189550: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00189560: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ -00189570: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00189580: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00189590: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001895a0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001895b0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001895c0: 6574 3d22 2369 646d 3230 3035 3822 2074  et="#idm20058" t
│ │ │ -001895d0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001895e0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001895f0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00189600: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00189610: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00189620: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00189630: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -00189640: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00189650: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00189660: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00189670: 2069 643d 2269 646d 3230 3035 3822 3e3c   id="idm20058"><
│ │ │ -00189680: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00189690: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -001896a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -001896b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -001896c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001896d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001896e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001896f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00189700: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00189710: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00189720: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00189730: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00189740: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00189750: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00189760: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00189770: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00189780: 456e 7375 7265 206b 6561 2069 7320 7265  Ensure kea is re
│ │ │ -00189790: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -001897a0: 0a20 2020 206e 616d 653a 206b 6561 0a20  .    name: kea. 
│ │ │ -001897b0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ -001897c0: 0a20 2074 6167 733a 0a20 202d 2064 6973  .  tags:.  - dis
│ │ │ -001897d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -001897e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001897f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00189800: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00189810: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00189820: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00189830: 2070 6163 6b61 6765 5f6b 6561 5f72 656d   package_kea_rem
│ │ │ -00189840: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ -00189850: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00189860: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00189870: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00189880: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00189890: 6172 6765 743d 2223 6964 6d32 3030 3539  arget="#idm20059
│ │ │ -001898a0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001898b0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001898c0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001898d0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001898e0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001898f0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00189900: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -00189910: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00189920: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00189930: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00189940: 2069 643d 2269 646d 3230 3035 3922 3e3c   id="idm20059"><
│ │ │ -00189950: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00189960: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00189970: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00189980: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00189990: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001899a0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001899b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001899c0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001899d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001899e0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001899f0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00189a00: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00189a10: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00189a20: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00189a30: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00189a40: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ -00189a50: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ -00189a60: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ -00189a70: 2072 656d 6f76 6520 6b65 610a 2309 2020   remove kea.#.  
│ │ │ -00189a80: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -00189a90: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -00189aa0: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -00189ab0: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -00189ac0: 6e20 6b65 612e 2045 7865 6375 7465 2074  n kea. Execute t
│ │ │ -00189ad0: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ -00189ae0: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ -00189af0: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ -00189b00: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ -00189b10: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ -00189b20: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -00189b30: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ -00189b40: 7665 202d 7920 226b 6561 220a 3c2f 636f  ve -y "kea".</co
│ │ │ +001893d0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +001893e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001893f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00189400: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00189410: 2069 643d 2269 646d 3230 3035 3722 3e3c   id="idm20057"><
│ │ │ +00189420: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00189430: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00189440: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00189450: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00189460: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00189470: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00189480: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00189490: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001894a0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001894b0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001894c0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001894d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001894e0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001894f0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00189500: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00189510: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00189520: 456e 7375 7265 206b 6561 2069 7320 7265  Ensure kea is re
│ │ │ +00189530: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +00189540: 0a20 2020 206e 616d 653a 206b 6561 0a20  .    name: kea. 
│ │ │ +00189550: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +00189560: 0a20 2074 6167 733a 0a20 202d 2064 6973  .  tags:.  - dis
│ │ │ +00189570: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00189580: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00189590: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +001895a0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +001895b0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +001895c0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +001895d0: 2070 6163 6b61 6765 5f6b 6561 5f72 656d   package_kea_rem
│ │ │ +001895e0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001895f0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00189600: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00189610: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00189620: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00189630: 6172 6765 743d 2223 6964 6d32 3030 3538  arget="#idm20058
│ │ │ +00189640: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00189650: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00189660: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00189670: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00189680: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00189690: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001896a0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +001896b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001896c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001896d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001896e0: 2069 643d 2269 646d 3230 3035 3822 3e3c   id="idm20058"><
│ │ │ +001896f0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00189700: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00189710: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00189720: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00189730: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00189740: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00189750: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00189760: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00189770: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00189780: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00189790: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001897a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001897b0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001897c0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001897d0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001897e0: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +001897f0: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +00189800: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +00189810: 2072 656d 6f76 6520 6b65 610a 2309 2020   remove kea.#.  
│ │ │ +00189820: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ +00189830: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ +00189840: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ +00189850: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ +00189860: 6e20 6b65 612e 2045 7865 6375 7465 2074  n kea. Execute t
│ │ │ +00189870: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ +00189880: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ +00189890: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ +001898a0: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ +001898b0: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ +001898c0: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +001898d0: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ +001898e0: 7665 202d 7920 226b 6561 220a 3c2f 636f  ve -y "kea".</co
│ │ │ +001898f0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00189900: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00189910: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00189920: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00189930: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00189940: 646d 3230 3035 3922 2074 6162 696e 6465  dm20059" tabinde
│ │ │ +00189950: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00189960: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00189970: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00189980: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00189990: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +001899a0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +001899b0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +001899c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001899d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001899e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001899f0: 6d32 3030 3539 223e 3c74 6162 6c65 2063  m20059"><table c
│ │ │ +00189a00: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00189a10: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00189a20: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00189a30: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00189a40: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00189a50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00189a60: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00189a70: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00189a80: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00189a90: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00189aa0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00189ab0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00189ac0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00189ad0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00189ae0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00189af0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ +00189b00: 6b65 610a 0a63 6c61 7373 2072 656d 6f76  kea..class remov
│ │ │ +00189b10: 655f 6b65 6120 7b0a 2020 7061 636b 6167  e_kea {.  packag
│ │ │ +00189b20: 6520 7b20 276b 6561 273a 0a20 2020 2065  e { 'kea':.    e
│ │ │ +00189b30: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +00189b40: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  00189b50: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00189b60: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00189b70: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00189b80: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00189b90: 612d 7474 2d69 643d 2263 6869 6c64 7265  a-tt-id="childre
│ │ │  00189ba0: 6e2d 7863 6364 665f 6f72 672e 7373 6770  n-xccdf_org.ssgp
│ │ │  00189bb0: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f67  roject.content_g
│ │ │ @@ -101880,178 +101880,178 @@
│ │ │  0018df70: 2d74 6172 6765 743d 2223 6964 6d32 3032  -target="#idm202
│ │ │  0018df80: 3136 2220 7461 6269 6e64 6578 3d22 3022  16" tabindex="0"
│ │ │  0018df90: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0018dfa0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0018dfb0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0018dfc0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0018dfd0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0018dfe0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0018dff0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0018e000: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0018e010: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0018e020: 7073 6522 2069 643d 2269 646d 3230 3231  pse" id="idm2021
│ │ │ -0018e030: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0018e040: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0018e050: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0018e060: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0018e070: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0018e080: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0018e090: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0018e0a0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0018e0b0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0018e0c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0018e0d0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0018e0e0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0018e0f0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0018e100: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0018e110: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0018e120: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0018e130: 7564 6520 7265 6d6f 7665 5f73 656e 646d  ude remove_sendm
│ │ │ -0018e140: 6169 6c0a 0a63 6c61 7373 2072 656d 6f76  ail..class remov
│ │ │ -0018e150: 655f 7365 6e64 6d61 696c 207b 0a20 2070  e_sendmail {.  p
│ │ │ -0018e160: 6163 6b61 6765 207b 2027 7365 6e64 6d61  ackage { 'sendma
│ │ │ -0018e170: 696c 273a 0a20 2020 2065 6e73 7572 6520  il':.    ensure 
│ │ │ -0018e180: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -0018e190: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0018e1a0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0018e1b0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0018e1c0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0018e1d0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0018e1e0: 7461 7267 6574 3d22 2369 646d 3230 3231  target="#idm2021
│ │ │ -0018e1f0: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ -0018e200: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0018e210: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0018e220: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0018e230: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0018e240: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0018e250: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -0018e260: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0018e270: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0018e280: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0018e290: 7073 6522 2069 643d 2269 646d 3230 3231  pse" id="idm2021
│ │ │ -0018e2a0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ -0018e2b0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0018e2c0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0018e2d0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0018e2e0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0018e2f0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0018e300: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0018e310: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0018e320: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0018e330: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0018e340: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0018e350: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0018e360: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0018e370: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0018e380: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0018e390: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -0018e3a0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -0018e3b0: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -0018e3c0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -0018e3d0: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -0018e3e0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -0018e3f0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0018e400: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0018e410: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -0018e420: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -0018e430: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0018e440: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -0018e450: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0018e460: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -0018e470: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -0018e480: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0018e490: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0018e4a0: 7365 6e64 6d61 696c 5f72 656d 6f76 6564  sendmail_removed
│ │ │ -0018e4b0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0018e4c0: 2073 656e 646d 6169 6c20 6973 2072 656d   sendmail is rem
│ │ │ -0018e4d0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ -0018e4e0: 2020 2020 6e61 6d65 3a20 7365 6e64 6d61      name: sendma
│ │ │ -0018e4f0: 696c 0a20 2020 2073 7461 7465 3a20 6162  il.    state: ab
│ │ │ -0018e500: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ -0018e510: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ -0018e520: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -0018e530: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -0018e540: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0018e550: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -0018e560: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -0018e570: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0018e580: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -0018e590: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0018e5a0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0018e5b0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0018e5c0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0018e5d0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0018e5e0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0018e5f0: 636b 6167 655f 7365 6e64 6d61 696c 5f72  ckage_sendmail_r
│ │ │ -0018e600: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ -0018e610: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -0018e620: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -0018e630: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -0018e640: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -0018e650: 2d74 6172 6765 743d 2223 6964 6d32 3032  -target="#idm202
│ │ │ -0018e660: 3138 2220 7461 6269 6e64 6578 3d22 3022  18" tabindex="0"
│ │ │ -0018e670: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -0018e680: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -0018e690: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -0018e6a0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -0018e6b0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0018e6c0: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -0018e6d0: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -0018e6e0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0018e6f0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0018e700: 6522 2069 643d 2269 646d 3230 3231 3822  e" id="idm20218"
│ │ │ -0018e710: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0018e720: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0018e730: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0018e740: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0018e750: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0018e760: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0018e770: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0018e780: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0018e790: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0018e7a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0018e7b0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0018e7c0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0018e7d0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0018e7e0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0018e7f0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0018e800: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -0018e810: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -0018e820: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -0018e830: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -0018e840: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ -0018e850: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ -0018e860: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ -0018e870: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ -0018e880: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ -0018e890: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ -0018e8a0: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ -0018e8b0: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -0018e8c0: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -0018e8d0: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -0018e8e0: 7365 6e64 6d61 696c 0a23 0920 2020 6672  sendmail.#.   fr
│ │ │ -0018e8f0: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ -0018e900: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ -0018e910: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ -0018e920: 7468 6174 2064 6570 656e 6420 6f6e 2073  that depend on s
│ │ │ -0018e930: 656e 646d 6169 6c2e 2045 7865 6375 7465  endmail. Execute
│ │ │ -0018e940: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ -0018e950: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ -0018e960: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ -0018e970: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ -0018e980: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ -0018e990: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ -0018e9a0: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ -0018e9b0: 6d6f 7665 202d 7920 2273 656e 646d 6169  move -y "sendmai
│ │ │ -0018e9c0: 6c22 0a0a 656c 7365 0a20 2020 2026 6774  l"..else.    &gt
│ │ │ -0018e9d0: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ -0018e9e0: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ -0018e9f0: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ -0018ea00: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ -0018ea10: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +0018dfe0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0018dff0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0018e000: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0018e010: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0018e020: 6170 7365 2220 6964 3d22 6964 6d32 3032  apse" id="idm202
│ │ │ +0018e030: 3136 223e 3c74 6162 6c65 2063 6c61 7373  16"><table class
│ │ │ +0018e040: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0018e050: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0018e060: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0018e070: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0018e080: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0018e090: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0018e0a0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0018e0b0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0018e0c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0018e0d0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0018e0e0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0018e0f0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0018e100: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0018e110: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0018e120: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0018e130: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +0018e140: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +0018e150: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +0018e160: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +0018e170: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +0018e180: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +0018e190: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0018e1a0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +0018e1b0: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +0018e1c0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +0018e1d0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0018e1e0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0018e1f0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0018e200: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0018e210: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0018e220: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +0018e230: 5f73 656e 646d 6169 6c5f 7265 6d6f 7665  _sendmail_remove
│ │ │ +0018e240: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0018e250: 6520 7365 6e64 6d61 696c 2069 7320 7265  e sendmail is re
│ │ │ +0018e260: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +0018e270: 0a20 2020 206e 616d 653a 2073 656e 646d  .    name: sendm
│ │ │ +0018e280: 6169 6c0a 2020 2020 7374 6174 653a 2061  ail.    state: a
│ │ │ +0018e290: 6273 656e 740a 2020 7768 656e 3a20 2722  bsent.  when: '"
│ │ │ +0018e2a0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0018e2b0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0018e2c0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +0018e2d0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0018e2e0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +0018e2f0: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +0018e300: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0018e310: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ +0018e320: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0018e330: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0018e340: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0018e350: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +0018e360: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +0018e370: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0018e380: 6163 6b61 6765 5f73 656e 646d 6169 6c5f  ackage_sendmail_
│ │ │ +0018e390: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0018e3a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0018e3b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0018e3c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0018e3d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0018e3e0: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ +0018e3f0: 3231 3722 2074 6162 696e 6465 783d 2230  217" tabindex="0
│ │ │ +0018e400: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0018e410: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0018e420: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0018e430: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0018e440: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0018e450: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +0018e460: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +0018e470: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0018e480: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0018e490: 7365 2220 6964 3d22 6964 6d32 3032 3137  se" id="idm20217
│ │ │ +0018e4a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0018e4b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0018e4c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0018e4d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0018e4e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0018e4f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0018e500: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0018e510: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0018e520: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0018e530: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0018e540: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0018e550: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0018e560: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0018e570: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +0018e580: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0018e590: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ +0018e5a0: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ +0018e5b0: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ +0018e5c0: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ +0018e5d0: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ +0018e5e0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ +0018e5f0: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ +0018e600: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ +0018e610: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ +0018e620: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ +0018e630: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ +0018e640: 0a0a 2320 4341 5554 494f 4e3a 2054 6869  ..# CAUTION: Thi
│ │ │ +0018e650: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +0018e660: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +0018e670: 2073 656e 646d 6169 6c0a 2309 2020 2066   sendmail.#.   f
│ │ │ +0018e680: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ +0018e690: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ +0018e6a0: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ +0018e6b0: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ +0018e6c0: 7365 6e64 6d61 696c 2e20 4578 6563 7574  sendmail. Execut
│ │ │ +0018e6d0: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ +0018e6e0: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ +0018e6f0: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ +0018e700: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ +0018e710: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ +0018e720: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +0018e730: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ +0018e740: 656d 6f76 6520 2d79 2022 7365 6e64 6d61  emove -y "sendma
│ │ │ +0018e750: 696c 220a 0a65 6c73 650a 2020 2020 2667  il"..else.    &g
│ │ │ +0018e760: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ +0018e770: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ +0018e780: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ +0018e790: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ +0018e7a0: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +0018e7b0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0018e7c0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0018e7d0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0018e7e0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0018e7f0: 6765 743d 2223 6964 6d32 3032 3138 2220  get="#idm20218" 
│ │ │ +0018e800: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0018e810: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0018e820: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0018e830: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0018e840: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0018e850: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0018e860: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +0018e870: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0018e880: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0018e890: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0018e8a0: 2069 643d 2269 646d 3230 3231 3822 3e3c   id="idm20218"><
│ │ │ +0018e8b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0018e8c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0018e8d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0018e8e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0018e8f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0018e900: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0018e910: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0018e920: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0018e930: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0018e940: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0018e950: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0018e960: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0018e970: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0018e980: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +0018e990: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0018e9a0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +0018e9b0: 7265 6d6f 7665 5f73 656e 646d 6169 6c0a  remove_sendmail.
│ │ │ +0018e9c0: 0a63 6c61 7373 2072 656d 6f76 655f 7365  .class remove_se
│ │ │ +0018e9d0: 6e64 6d61 696c 207b 0a20 2070 6163 6b61  ndmail {.  packa
│ │ │ +0018e9e0: 6765 207b 2027 7365 6e64 6d61 696c 273a  ge { 'sendmail':
│ │ │ +0018e9f0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +0018ea00: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +0018ea10: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  0018ea20: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  0018ea30: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  0018ea40: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  0018ea50: 7472 2064 6174 612d 7474 2d69 643d 2263  tr data-tt-id="c
│ │ │  0018ea60: 6869 6c64 7265 6e2d 7863 6364 665f 6f72  hildren-xccdf_or
│ │ │  0018ea70: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  0018ea80: 7465 6e74 5f67 726f 7570 5f6e 7470 2220  tent_group_ntp" 
│ │ │ @@ -103527,181 +103527,181 @@
│ │ │  00194660: 7461 7267 6574 3d22 2369 646d 3230 3837  target="#idm2087
│ │ │  00194670: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │  00194680: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00194690: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  001946a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  001946b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  001946c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001946d0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -001946e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001946f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00194700: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00194710: 7365 2220 6964 3d22 6964 6d32 3038 3736  se" id="idm20876
│ │ │ -00194720: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00194730: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00194740: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00194750: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00194760: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00194770: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00194780: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00194790: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001947a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001947b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001947c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001947d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001947e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001947f0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00194800: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00194810: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -00194820: 6465 2072 656d 6f76 655f 7869 6e65 7464  de remove_xinetd
│ │ │ -00194830: 0a0a 636c 6173 7320 7265 6d6f 7665 5f78  ..class remove_x
│ │ │ -00194840: 696e 6574 6420 7b0a 2020 7061 636b 6167  inetd {.  packag
│ │ │ -00194850: 6520 7b20 2778 696e 6574 6427 3a0a 2020  e { 'xinetd':.  
│ │ │ -00194860: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00194870: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -00194880: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00194890: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -001948a0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -001948b0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -001948c0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -001948d0: 2223 6964 6d32 3038 3737 2220 7461 6269  "#idm20877" tabi
│ │ │ -001948e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -001948f0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00194900: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00194910: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00194920: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00194930: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00194940: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00194950: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00194960: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00194970: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00194980: 3d22 6964 6d32 3038 3737 223e 3c74 6162  ="idm20877"><tab
│ │ │ -00194990: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001949a0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001949b0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001949c0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001949d0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001949e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001949f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00194a00: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00194a10: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00194a20: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00194a30: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00194a40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00194a50: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00194a60: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00194a70: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00194a80: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -00194a90: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00194aa0: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00194ab0: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00194ac0: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -00194ad0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00194ae0: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ -00194af0: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ -00194b00: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00194b10: 2d43 4d2d 3728 6229 0a20 202d 2050 4349  -CM-7(b).  - PCI
│ │ │ -00194b20: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ -00194b30: 4349 2d44 5353 7634 2d32 2e32 2e34 0a20  CI-DSSv4-2.2.4. 
│ │ │ -00194b40: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ -00194b50: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00194b60: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00194b70: 6973 7275 7074 696f 6e0a 2020 2d20 6c6f  isruption.  - lo
│ │ │ -00194b80: 775f 7365 7665 7269 7479 0a20 202d 206e  w_severity.  - n
│ │ │ -00194b90: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00194ba0: 2020 2d20 7061 636b 6167 655f 7869 6e65    - package_xine
│ │ │ -00194bb0: 7464 5f72 656d 6f76 6564 0a0a 2d20 6e61  td_removed..- na
│ │ │ -00194bc0: 6d65 3a20 456e 7375 7265 2078 696e 6574  me: Ensure xinet
│ │ │ -00194bd0: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00194be0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00194bf0: 3a20 7869 6e65 7464 0a20 2020 2073 7461  : xinetd.    sta
│ │ │ -00194c00: 7465 3a20 6162 7365 6e74 0a20 2077 6865  te: absent.  whe
│ │ │ -00194c10: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -00194c20: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -00194c30: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -00194c40: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00194c50: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00194c60: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -00194c70: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -00194c80: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ -00194c90: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ -00194ca0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ -00194cb0: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ -00194cc0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00194cd0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00194ce0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00194cf0: 206c 6f77 5f73 6576 6572 6974 790a 2020   low_severity.  
│ │ │ -00194d00: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -00194d10: 6564 0a20 202d 2070 6163 6b61 6765 5f78  ed.  - package_x
│ │ │ -00194d20: 696e 6574 645f 7265 6d6f 7665 640a 3c2f  inetd_removed.</
│ │ │ -00194d30: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00194d40: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00194d50: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00194d60: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00194d70: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00194d80: 2369 646d 3230 3837 3822 2074 6162 696e  #idm20878" tabin
│ │ │ -00194d90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00194da0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00194db0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00194dc0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00194dd0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00194de0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -00194df0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -00194e00: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00194e10: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00194e20: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00194e30: 6d32 3038 3738 223e 3c74 6162 6c65 2063  m20878"><table c
│ │ │ -00194e40: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00194e50: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00194e60: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00194e70: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00194e80: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00194e90: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00194ea0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00194eb0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00194ec0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00194ed0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00194ee0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00194ef0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00194f00: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00194f10: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00194f20: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00194f30: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ -00194f40: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ -00194f50: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ -00194f60: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ -00194f70: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ -00194f80: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ -00194f90: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ -00194fa0: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ -00194fb0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ -00194fc0: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ -00194fd0: 3b20 7468 656e 0a0a 2320 4341 5554 494f  ; then..# CAUTIO
│ │ │ -00194fe0: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ -00194ff0: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ -00195000: 7265 6d6f 7665 2078 696e 6574 640a 2309  remove xinetd.#.
│ │ │ -00195010: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ -00195020: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ -00195030: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ -00195040: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ -00195050: 206f 6e20 7869 6e65 7464 2e20 4578 6563   on xinetd. Exec
│ │ │ -00195060: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -00195070: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -00195080: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -00195090: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -001950a0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -001950b0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -001950c0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -001950d0: 2072 656d 6f76 6520 2d79 2022 7869 6e65   remove -y "xine
│ │ │ -001950e0: 7464 220a 0a65 6c73 650a 2020 2020 2667  td"..else.    &g
│ │ │ -001950f0: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ -00195100: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ -00195110: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ -00195120: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ -00195130: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +001946d0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +001946e0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +001946f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00194700: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00194710: 7073 6522 2069 643d 2269 646d 3230 3837  pse" id="idm2087
│ │ │ +00194720: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +00194730: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00194740: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00194750: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00194760: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00194770: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00194780: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00194790: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001947a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001947b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +001947c0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +001947d0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +001947e0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +001947f0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00194800: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00194810: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00194820: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00194830: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00194840: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00194850: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00194860: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00194870: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00194880: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00194890: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ +001948a0: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ +001948b0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +001948c0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +001948d0: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ +001948e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +001948f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00194900: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00194910: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ +00194920: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00194930: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00194940: 6765 5f78 696e 6574 645f 7265 6d6f 7665  ge_xinetd_remove
│ │ │ +00194950: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +00194960: 6520 7869 6e65 7464 2069 7320 7265 6d6f  e xinetd is remo
│ │ │ +00194970: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +00194980: 2020 206e 616d 653a 2078 696e 6574 640a     name: xinetd.
│ │ │ +00194990: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +001949a0: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +001949b0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +001949c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +001949d0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +001949e0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +001949f0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00194a00: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ +00194a10: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +00194a20: 6229 0a20 202d 2050 4349 2d44 5353 7634  b).  - PCI-DSSv4
│ │ │ +00194a30: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +00194a40: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ +00194a50: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00194a60: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00194a70: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00194a80: 696f 6e0a 2020 2d20 6c6f 775f 7365 7665  ion.  - low_seve
│ │ │ +00194a90: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00194aa0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00194ab0: 636b 6167 655f 7869 6e65 7464 5f72 656d  ckage_xinetd_rem
│ │ │ +00194ac0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +00194ad0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00194ae0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00194af0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00194b00: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00194b10: 6172 6765 743d 2223 6964 6d32 3038 3737  arget="#idm20877
│ │ │ +00194b20: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00194b30: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00194b40: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00194b50: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00194b60: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00194b70: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00194b80: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +00194b90: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00194ba0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00194bb0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00194bc0: 2069 643d 2269 646d 3230 3837 3722 3e3c   id="idm20877"><
│ │ │ +00194bd0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00194be0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00194bf0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00194c00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00194c10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00194c20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00194c30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00194c40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00194c50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00194c60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00194c70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00194c80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00194c90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00194ca0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00194cb0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00194cc0: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ +00194cd0: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ +00194ce0: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ +00194cf0: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ +00194d00: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ +00194d10: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ +00194d20: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ +00194d30: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ +00194d40: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ +00194d50: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ +00194d60: 7374 616c 6c65 643b 2074 6865 6e0a 0a23  stalled; then..#
│ │ │ +00194d70: 2043 4155 5449 4f4e 3a20 5468 6973 2072   CAUTION: This r
│ │ │ +00194d80: 656d 6564 6961 7469 6f6e 2073 6372 6970  emediation scrip
│ │ │ +00194d90: 7420 7769 6c6c 2072 656d 6f76 6520 7869  t will remove xi
│ │ │ +00194da0: 6e65 7464 0a23 0920 2020 6672 6f6d 2074  netd.#.   from t
│ │ │ +00194db0: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ +00194dc0: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ +00194dd0: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ +00194de0: 2064 6570 656e 6420 6f6e 2078 696e 6574   depend on xinet
│ │ │ +00194df0: 642e 2045 7865 6375 7465 2074 6869 730a  d. Execute this.
│ │ │ +00194e00: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +00194e10: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +00194e20: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +00194e30: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +00194e40: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +00194e50: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +00194e60: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +00194e70: 7920 2278 696e 6574 6422 0a0a 656c 7365  y "xinetd"..else
│ │ │ +00194e80: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +00194e90: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +00194ea0: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +00194eb0: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +00194ec0: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +00194ed0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00194ee0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00194ef0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00194f00: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00194f10: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00194f20: 3230 3837 3822 2074 6162 696e 6465 783d  20878" tabindex=
│ │ │ +00194f30: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00194f40: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00194f50: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00194f60: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00194f70: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00194f80: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00194f90: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00194fa0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00194fb0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00194fc0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +00194fd0: 3038 3738 223e 3c74 6162 6c65 2063 6c61  0878"><table cla
│ │ │ +00194fe0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00194ff0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00195000: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00195010: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00195020: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00195030: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00195040: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00195050: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00195060: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00195070: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00195080: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00195090: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +001950a0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +001950b0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +001950c0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +001950d0: 6e63 6c75 6465 2072 656d 6f76 655f 7869  nclude remove_xi
│ │ │ +001950e0: 6e65 7464 0a0a 636c 6173 7320 7265 6d6f  netd..class remo
│ │ │ +001950f0: 7665 5f78 696e 6574 6420 7b0a 2020 7061  ve_xinetd {.  pa
│ │ │ +00195100: 636b 6167 6520 7b20 2778 696e 6574 6427  ckage { 'xinetd'
│ │ │ +00195110: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00195120: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +00195130: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  00195140: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  00195150: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  00195160: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  00195170: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  00195180: 6368 696c 6472 656e 2d78 6363 6466 5f6f  children-xccdf_o
│ │ │  00195190: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  001951a0: 6e74 656e 745f 6772 6f75 705f 6e69 7322  ntent_group_nis"
│ │ │ @@ -103934,140 +103934,140 @@
│ │ │  00195fd0: 7461 7267 6574 3d22 2369 646d 3230 3930  target="#idm2090
│ │ │  00195fe0: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │  00195ff0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00196000: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  00196010: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  00196020: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00196030: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00196040: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00196050: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00196060: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00196070: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00196080: 7365 2220 6964 3d22 6964 6d32 3039 3030  se" id="idm20900
│ │ │ -00196090: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001960a0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001960b0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001960c0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001960d0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001960e0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001960f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00196100: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00196110: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00196120: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00196130: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00196140: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00196150: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00196160: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00196170: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00196180: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -00196190: 6465 2072 656d 6f76 655f 7970 6269 6e64  de remove_ypbind
│ │ │ -001961a0: 2d6d 740a 0a63 6c61 7373 2072 656d 6f76  -mt..class remov
│ │ │ -001961b0: 655f 7970 6269 6e64 2d6d 7420 7b0a 2020  e_ypbind-mt {.  
│ │ │ -001961c0: 7061 636b 6167 6520 7b20 2779 7062 696e  package { 'ypbin
│ │ │ -001961d0: 642d 6d74 273a 0a20 2020 2065 6e73 7572  d-mt':.    ensur
│ │ │ -001961e0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ -001961f0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00196200: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00196210: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00196220: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00196230: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00196240: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ -00196250: 3930 3122 2074 6162 696e 6465 783d 2230  901" tabindex="0
│ │ │ -00196260: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00196270: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00196280: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00196290: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -001962a0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001962b0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -001962c0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -001962d0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -001962e0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -001962f0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ -00196300: 3930 3122 3e3c 7461 626c 6520 636c 6173  901"><table clas
│ │ │ -00196310: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00196320: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00196330: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00196340: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00196350: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00196360: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00196370: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00196380: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00196390: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001963a0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -001963b0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -001963c0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -001963d0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -001963e0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -001963f0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00196400: 6e61 6d65 3a20 456e 7375 7265 2079 7062  name: Ensure ypb
│ │ │ -00196410: 696e 642d 6d74 2069 7320 7265 6d6f 7665  ind-mt is remove
│ │ │ -00196420: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00196430: 206e 616d 653a 2079 7062 696e 642d 6d74   name: ypbind-mt
│ │ │ -00196440: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ -00196450: 6e74 0a20 2074 6167 733a 0a20 202d 2050  nt.  tags:.  - P
│ │ │ -00196460: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00196470: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00196480: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00196490: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -001964a0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -001964b0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -001964c0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -001964d0: 0a20 202d 2070 6163 6b61 6765 5f79 7062  .  - package_ypb
│ │ │ -001964e0: 696e 645f 7265 6d6f 7665 640a 2020 2d20  ind_removed.  - 
│ │ │ -001964f0: 756e 6b6e 6f77 6e5f 7365 7665 7269 7479  unknown_severity
│ │ │ -00196500: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00196510: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00196520: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00196530: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00196540: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00196550: 743d 2223 6964 6d32 3039 3032 2220 7461  t="#idm20902" ta
│ │ │ -00196560: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00196570: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00196580: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00196590: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -001965a0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -001965b0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -001965c0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -001965d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001965e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001965f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00196600: 2269 646d 3230 3930 3222 3e3c 7461 626c  "idm20902"><tabl
│ │ │ -00196610: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00196620: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00196630: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00196640: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00196650: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00196660: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00196670: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00196680: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00196690: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001966a0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001966b0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001966c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001966d0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001966e0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001966f0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00196700: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -00196710: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -00196720: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -00196730: 6f76 6520 7970 6269 6e64 2d6d 740a 2309  ove ypbind-mt.#.
│ │ │ -00196740: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ -00196750: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ -00196760: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ -00196770: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ -00196780: 206f 6e20 7970 6269 6e64 2d6d 742e 2045   on ypbind-mt. E
│ │ │ -00196790: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -001967a0: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -001967b0: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -001967c0: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -001967d0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -001967e0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -001967f0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -00196800: 6765 7420 7265 6d6f 7665 202d 7920 2279  get remove -y "y
│ │ │ -00196810: 7062 696e 642d 6d74 220a 3c2f 636f 6465  pbind-mt".</code
│ │ │ +00196040: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00196050: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00196060: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00196070: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00196080: 7073 6522 2069 643d 2269 646d 3230 3930  pse" id="idm2090
│ │ │ +00196090: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ +001960a0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +001960b0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +001960c0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001960d0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001960e0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001960f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00196100: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00196110: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00196120: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00196130: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00196140: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00196150: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00196160: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00196170: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00196180: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00196190: 6d65 3a20 456e 7375 7265 2079 7062 696e  me: Ensure ypbin
│ │ │ +001961a0: 642d 6d74 2069 7320 7265 6d6f 7665 640a  d-mt is removed.
│ │ │ +001961b0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +001961c0: 616d 653a 2079 7062 696e 642d 6d74 0a20  ame: ypbind-mt. 
│ │ │ +001961d0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +001961e0: 0a20 2074 6167 733a 0a20 202d 2050 4349  .  tags:.  - PCI
│ │ │ +001961f0: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +00196200: 4349 2d44 5353 7634 2d32 2e32 2e34 0a20  CI-DSSv4-2.2.4. 
│ │ │ +00196210: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +00196220: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00196230: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00196240: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +00196250: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00196260: 202d 2070 6163 6b61 6765 5f79 7062 696e   - package_ypbin
│ │ │ +00196270: 645f 7265 6d6f 7665 640a 2020 2d20 756e  d_removed.  - un
│ │ │ +00196280: 6b6e 6f77 6e5f 7365 7665 7269 7479 0a3c  known_severity.<
│ │ │ +00196290: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001962a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001962b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001962c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001962d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001962e0: 2223 6964 6d32 3039 3031 2220 7461 6269  "#idm20901" tabi
│ │ │ +001962f0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00196300: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00196310: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00196320: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00196330: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00196340: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +00196350: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +00196360: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00196370: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00196380: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00196390: 646d 3230 3930 3122 3e3c 7461 626c 6520  dm20901"><table 
│ │ │ +001963a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001963b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001963c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001963d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001963e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001963f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00196400: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00196410: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00196420: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00196430: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00196440: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00196450: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00196460: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00196470: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00196480: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00196490: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ +001964a0: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ +001964b0: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ +001964c0: 6520 7970 6269 6e64 2d6d 740a 2309 2020  e ypbind-mt.#.  
│ │ │ +001964d0: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ +001964e0: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ +001964f0: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ +00196500: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ +00196510: 6e20 7970 6269 6e64 2d6d 742e 2045 7865  n ypbind-mt. Exe
│ │ │ +00196520: 6375 7465 2074 6869 730a 2309 2020 2072  cute this.#.   r
│ │ │ +00196530: 656d 6564 6961 7469 6f6e 2041 4654 4552  emediation AFTER
│ │ │ +00196540: 2074 6573 7469 6e67 206f 6e20 6120 6e6f   testing on a no
│ │ │ +00196550: 6e2d 7072 6f64 7563 7469 6f6e 0a23 0920  n-production.#. 
│ │ │ +00196560: 2020 7379 7374 656d 210a 0a44 4542 4941    system!..DEBIA
│ │ │ +00196570: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +00196580: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +00196590: 7420 7265 6d6f 7665 202d 7920 2279 7062  t remove -y "ypb
│ │ │ +001965a0: 696e 642d 6d74 220a 3c2f 636f 6465 3e3c  ind-mt".</code><
│ │ │ +001965b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +001965c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +001965d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +001965e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +001965f0: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ +00196600: 3930 3222 2074 6162 696e 6465 783d 2230  902" tabindex="0
│ │ │ +00196610: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00196620: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00196630: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00196640: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00196650: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00196660: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00196670: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00196680: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00196690: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +001966a0: 6170 7365 2220 6964 3d22 6964 6d32 3039  apse" id="idm209
│ │ │ +001966b0: 3032 223e 3c74 6162 6c65 2063 6c61 7373  02"><table class
│ │ │ +001966c0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +001966d0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +001966e0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +001966f0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00196700: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00196710: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00196720: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00196730: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00196740: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00196750: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00196760: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00196770: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00196780: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00196790: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +001967a0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +001967b0: 6c75 6465 2072 656d 6f76 655f 7970 6269  lude remove_ypbi
│ │ │ +001967c0: 6e64 2d6d 740a 0a63 6c61 7373 2072 656d  nd-mt..class rem
│ │ │ +001967d0: 6f76 655f 7970 6269 6e64 2d6d 7420 7b0a  ove_ypbind-mt {.
│ │ │ +001967e0: 2020 7061 636b 6167 6520 7b20 2779 7062    package { 'ypb
│ │ │ +001967f0: 696e 642d 6d74 273a 0a20 2020 2065 6e73  ind-mt':.    ens
│ │ │ +00196800: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +00196810: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  00196820: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  00196830: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  00196840: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  00196850: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  00196860: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  00196870: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  00196880: 656e 745f 7275 6c65 5f70 6163 6b61 6765  ent_rule_package
│ │ │ @@ -104345,146 +104345,146 @@
│ │ │  00197980: 6574 3d22 2369 646d 3231 3031 3722 2074  et="#idm21017" t
│ │ │  00197990: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001979a0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  001979b0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  001979c0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  001979d0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  001979e0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001979f0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00197a00: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00197a10: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00197a20: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00197a30: 6964 3d22 6964 6d32 3130 3137 223e 3c74  id="idm21017"><t
│ │ │ -00197a40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00197a50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00197a60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00197a70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00197a80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00197a90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00197aa0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00197ab0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00197ac0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00197ad0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00197ae0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00197af0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00197b00: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00197b10: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00197b20: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00197b30: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -00197b40: 656d 6f76 655f 7970 7365 7276 0a0a 636c  emove_ypserv..cl
│ │ │ -00197b50: 6173 7320 7265 6d6f 7665 5f79 7073 6572  ass remove_ypser
│ │ │ -00197b60: 7620 7b0a 2020 7061 636b 6167 6520 7b20  v {.  package { 
│ │ │ -00197b70: 2779 7073 6572 7627 3a0a 2020 2020 656e  'ypserv':.    en
│ │ │ -00197b80: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00197b90: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00197ba0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00197bb0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00197bc0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00197bd0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00197be0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00197bf0: 6d32 3130 3138 2220 7461 6269 6e64 6578  m21018" tabindex
│ │ │ -00197c00: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00197c10: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00197c20: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00197c30: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00197c40: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00197c50: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00197c60: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00197c70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00197c80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00197c90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00197ca0: 6d32 3130 3138 223e 3c74 6162 6c65 2063  m21018"><table c
│ │ │ -00197cb0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00197cc0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00197cd0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00197ce0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00197cf0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00197d00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00197d10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00197d20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00197d30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00197d40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00197d50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00197d60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00197d70: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00197d80: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00197d90: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00197da0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00197db0: 7970 7365 7276 2069 7320 7265 6d6f 7665  ypserv is remove
│ │ │ -00197dc0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00197dd0: 206e 616d 653a 2079 7073 6572 760a 2020   name: ypserv.  
│ │ │ -00197de0: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -00197df0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -00197e00: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00197e10: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00197e20: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -00197e30: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -00197e40: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00197e50: 4941 2d35 2831 2928 6329 0a20 202d 2050  IA-5(1)(c).  - P
│ │ │ -00197e60: 4349 2d44 5353 2d52 6571 2d32 2e32 2e32  CI-DSS-Req-2.2.2
│ │ │ -00197e70: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -00197e80: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00197e90: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ -00197ea0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00197eb0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -00197ec0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00197ed0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00197ee0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -00197ef0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00197f00: 6b61 6765 5f79 7073 6572 765f 7265 6d6f  kage_ypserv_remo
│ │ │ -00197f10: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ -00197f20: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00197f30: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00197f40: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00197f50: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00197f60: 7267 6574 3d22 2369 646d 3231 3031 3922  rget="#idm21019"
│ │ │ -00197f70: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00197f80: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00197f90: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00197fa0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00197fb0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00197fc0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00197fd0: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ -00197fe0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00197ff0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00198000: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00198010: 6964 3d22 6964 6d32 3130 3139 223e 3c74  id="idm21019"><t
│ │ │ -00198020: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00198030: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00198040: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00198050: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00198060: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00198070: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00198080: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00198090: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -001980a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001980b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -001980c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -001980d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001980e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -001980f0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00198100: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00198110: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ -00198120: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ -00198130: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ -00198140: 7265 6d6f 7665 2079 7073 6572 760a 2309  remove ypserv.#.
│ │ │ -00198150: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ -00198160: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ -00198170: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ -00198180: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ -00198190: 206f 6e20 7970 7365 7276 2e20 4578 6563   on ypserv. Exec
│ │ │ -001981a0: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -001981b0: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -001981c0: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -001981d0: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -001981e0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -001981f0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -00198200: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -00198210: 2072 656d 6f76 6520 2d79 2022 7970 7365   remove -y "ypse
│ │ │ -00198220: 7276 220a 3c2f 636f 6465 3e3c 2f70 7265  rv".</code></pre
│ │ │ +001979f0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00197a00: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00197a10: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00197a20: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00197a30: 2069 643d 2269 646d 3231 3031 3722 3e3c   id="idm21017"><
│ │ │ +00197a40: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00197a50: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00197a60: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00197a70: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00197a80: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00197a90: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00197aa0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00197ab0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00197ac0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00197ad0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00197ae0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00197af0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00197b00: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00197b10: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00197b20: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00197b30: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00197b40: 456e 7375 7265 2079 7073 6572 7620 6973  Ensure ypserv is
│ │ │ +00197b50: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +00197b60: 6765 3a0a 2020 2020 6e61 6d65 3a20 7970  ge:.    name: yp
│ │ │ +00197b70: 7365 7276 0a20 2020 2073 7461 7465 3a20  serv.    state: 
│ │ │ +00197b80: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +00197b90: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00197ba0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +00197bb0: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +00197bc0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00197bd0: 4d2d 3728 6229 0a20 202d 204e 4953 542d  M-7(b).  - NIST-
│ │ │ +00197be0: 3830 302d 3533 2d49 412d 3528 3129 2863  800-53-IA-5(1)(c
│ │ │ +00197bf0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +00197c00: 712d 322e 322e 320a 2020 2d20 5043 492d  q-2.2.2.  - PCI-
│ │ │ +00197c10: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +00197c20: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +00197c30: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +00197c40: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +00197c50: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +00197c60: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00197c70: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00197c80: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00197c90: 2020 2d20 7061 636b 6167 655f 7970 7365    - package_ypse
│ │ │ +00197ca0: 7276 5f72 656d 6f76 6564 0a3c 2f63 6f64  rv_removed.</cod
│ │ │ +00197cb0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00197cc0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00197cd0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00197ce0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00197cf0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00197d00: 6d32 3130 3138 2220 7461 6269 6e64 6578  m21018" tabindex
│ │ │ +00197d10: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00197d20: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00197d30: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00197d40: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00197d50: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00197d60: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +00197d70: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +00197d80: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00197d90: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00197da0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +00197db0: 3031 3822 3e3c 7461 626c 6520 636c 6173  018"><table clas
│ │ │ +00197dc0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00197dd0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00197de0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00197df0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00197e00: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00197e10: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00197e20: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00197e30: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00197e40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00197e50: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00197e60: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00197e70: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00197e80: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00197e90: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00197ea0: 6c65 3e3c 7072 653e 3c63 6f64 653e 0a23  le><pre><code>.#
│ │ │ +00197eb0: 2043 4155 5449 4f4e 3a20 5468 6973 2072   CAUTION: This r
│ │ │ +00197ec0: 656d 6564 6961 7469 6f6e 2073 6372 6970  emediation scrip
│ │ │ +00197ed0: 7420 7769 6c6c 2072 656d 6f76 6520 7970  t will remove yp
│ │ │ +00197ee0: 7365 7276 0a23 0920 2020 6672 6f6d 2074  serv.#.   from t
│ │ │ +00197ef0: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ +00197f00: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ +00197f10: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ +00197f20: 2064 6570 656e 6420 6f6e 2079 7073 6572   depend on ypser
│ │ │ +00197f30: 762e 2045 7865 6375 7465 2074 6869 730a  v. Execute this.
│ │ │ +00197f40: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +00197f50: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +00197f60: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +00197f70: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +00197f80: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +00197f90: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +00197fa0: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +00197fb0: 7920 2279 7073 6572 7622 0a3c 2f63 6f64  y "ypserv".</cod
│ │ │ +00197fc0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00197fd0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00197fe0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00197ff0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00198000: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00198010: 6d32 3130 3139 2220 7461 6269 6e64 6578  m21019" tabindex
│ │ │ +00198020: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00198030: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00198040: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00198050: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00198060: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00198070: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00198080: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00198090: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001980a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001980b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001980c0: 3231 3031 3922 3e3c 7461 626c 6520 636c  21019"><table cl
│ │ │ +001980d0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001980e0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001980f0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00198100: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00198110: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00198120: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00198130: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00198140: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00198150: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00198160: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00198170: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00198180: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00198190: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +001981a0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001981b0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001981c0: 696e 636c 7564 6520 7265 6d6f 7665 5f79  include remove_y
│ │ │ +001981d0: 7073 6572 760a 0a63 6c61 7373 2072 656d  pserv..class rem
│ │ │ +001981e0: 6f76 655f 7970 7365 7276 207b 0a20 2070  ove_ypserv {.  p
│ │ │ +001981f0: 6163 6b61 6765 207b 2027 7970 7365 7276  ackage { 'ypserv
│ │ │ +00198200: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00198210: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00198220: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00198230: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  00198240: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  00198250: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  00198260: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  00198270: 2263 6869 6c64 7265 6e2d 7863 6364 665f  "children-xccdf_
│ │ │  00198280: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  00198290: 6f6e 7465 6e74 5f67 726f 7570 5f72 5f73  ontent_group_r_s
│ │ │ @@ -104825,147 +104825,147 @@
│ │ │  00199780: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00199790: 2369 646d 3231 3133 3722 2074 6162 696e  #idm21137" tabin
│ │ │  001997a0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  001997b0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  001997c0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  001997d0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  001997e0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001997f0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00199800: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00199810: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00199820: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00199830: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00199840: 6964 6d32 3131 3337 223e 3c74 6162 6c65  idm21137"><table
│ │ │ -00199850: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00199860: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00199870: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00199880: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00199890: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -001998a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001998b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -001998c0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -001998d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001998e0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -001998f0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00199900: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00199910: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00199920: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00199930: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00199940: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ -00199950: 655f 7273 682d 7365 7276 6572 0a0a 636c  e_rsh-server..cl
│ │ │ -00199960: 6173 7320 7265 6d6f 7665 5f72 7368 2d73  ass remove_rsh-s
│ │ │ -00199970: 6572 7665 7220 7b0a 2020 7061 636b 6167  erver {.  packag
│ │ │ -00199980: 6520 7b20 2772 7368 2d73 6572 7665 7227  e { 'rsh-server'
│ │ │ -00199990: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -001999a0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -001999b0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -001999c0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -001999d0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -001999e0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -001999f0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00199a00: 6765 743d 2223 6964 6d32 3131 3338 2220  get="#idm21138" 
│ │ │ -00199a10: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00199a20: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00199a30: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00199a40: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00199a50: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00199a60: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00199a70: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00199a80: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00199a90: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00199aa0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00199ab0: 2220 6964 3d22 6964 6d32 3131 3338 223e  " id="idm21138">
│ │ │ -00199ac0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00199ad0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00199ae0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00199af0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00199b00: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00199b10: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00199b20: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00199b30: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00199b40: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00199b50: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00199b60: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00199b70: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00199b80: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00199b90: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00199ba0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00199bb0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00199bc0: 2045 6e73 7572 6520 7273 682d 7365 7276   Ensure rsh-serv
│ │ │ -00199bd0: 6572 2069 7320 7265 6d6f 7665 640a 2020  er is removed.  
│ │ │ -00199be0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -00199bf0: 653a 2072 7368 2d73 6572 7665 720a 2020  e: rsh-server.  
│ │ │ -00199c00: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -00199c10: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -00199c20: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00199c30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00199c40: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -00199c50: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -00199c60: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00199c70: 4941 2d35 2831 2928 6329 0a20 202d 2050  IA-5(1)(c).  - P
│ │ │ -00199c80: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00199c90: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00199ca0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00199cb0: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ -00199cc0: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ -00199cd0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00199ce0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00199cf0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -00199d00: 6564 0a20 202d 2070 6163 6b61 6765 5f72  ed.  - package_r
│ │ │ -00199d10: 7368 2d73 6572 7665 725f 7265 6d6f 7665  sh-server_remove
│ │ │ -00199d20: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -00199d30: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00199d40: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00199d50: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00199d60: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00199d70: 6574 3d22 2369 646d 3231 3133 3922 2074  et="#idm21139" t
│ │ │ -00199d80: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00199d90: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00199da0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00199db0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00199dc0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00199dd0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00199de0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -00199df0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00199e00: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00199e10: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00199e20: 3d22 6964 6d32 3131 3339 223e 3c74 6162  ="idm21139"><tab
│ │ │ -00199e30: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00199e40: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00199e50: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00199e60: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00199e70: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00199e80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00199e90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00199ea0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00199eb0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00199ec0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00199ed0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00199ee0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00199ef0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00199f00: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00199f10: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00199f20: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ -00199f30: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ -00199f40: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ -00199f50: 6d6f 7665 2072 7368 2d73 6572 7665 720a  move rsh-server.
│ │ │ -00199f60: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ -00199f70: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ -00199f80: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ -00199f90: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ -00199fa0: 6e64 206f 6e20 7273 682d 7365 7276 6572  nd on rsh-server
│ │ │ -00199fb0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00199fc0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00199fd0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00199fe0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00199ff0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -0019a000: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -0019a010: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -0019a020: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -0019a030: 2022 7273 682d 7365 7276 6572 220a 3c2f   "rsh-server".</
│ │ │ +001997f0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00199800: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00199810: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00199820: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00199830: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00199840: 2269 646d 3231 3133 3722 3e3c 7461 626c  "idm21137"><tabl
│ │ │ +00199850: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00199860: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00199870: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00199880: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00199890: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001998a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001998b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001998c0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001998d0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001998e0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001998f0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00199900: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00199910: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00199920: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00199930: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00199940: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +00199950: 7265 2072 7368 2d73 6572 7665 7220 6973  re rsh-server is
│ │ │ +00199960: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +00199970: 6765 3a0a 2020 2020 6e61 6d65 3a20 7273  ge:.    name: rs
│ │ │ +00199980: 682d 7365 7276 6572 0a20 2020 2073 7461  h-server.    sta
│ │ │ +00199990: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +001999a0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +001999b0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +001999c0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +001999d0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001999e0: 3533 2d43 4d2d 3728 6229 0a20 202d 204e  53-CM-7(b).  - N
│ │ │ +001999f0: 4953 542d 3830 302d 3533 2d49 412d 3528  IST-800-53-IA-5(
│ │ │ +00199a00: 3129 2863 290a 2020 2d20 5043 492d 4453  1)(c).  - PCI-DS
│ │ │ +00199a10: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +00199a20: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ +00199a30: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00199a40: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +00199a50: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +00199a60: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00199a70: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00199a80: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00199a90: 2d20 7061 636b 6167 655f 7273 682d 7365  - package_rsh-se
│ │ │ +00199aa0: 7276 6572 5f72 656d 6f76 6564 0a3c 2f63  rver_removed.</c
│ │ │ +00199ab0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00199ac0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00199ad0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00199ae0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00199af0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00199b00: 6964 6d32 3131 3338 2220 7461 6269 6e64  idm21138" tabind
│ │ │ +00199b10: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00199b20: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00199b30: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00199b40: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00199b50: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00199b60: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +00199b70: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +00199b80: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00199b90: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00199ba0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00199bb0: 3231 3133 3822 3e3c 7461 626c 6520 636c  21138"><table cl
│ │ │ +00199bc0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00199bd0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00199be0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00199bf0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00199c00: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00199c10: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00199c20: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00199c30: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00199c40: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00199c50: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00199c60: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00199c70: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00199c80: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00199c90: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00199ca0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00199cb0: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ +00199cc0: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ +00199cd0: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ +00199ce0: 7273 682d 7365 7276 6572 0a23 0920 2020  rsh-server.#.   
│ │ │ +00199cf0: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ +00199d00: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ +00199d10: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ +00199d20: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ +00199d30: 2072 7368 2d73 6572 7665 722e 2045 7865   rsh-server. Exe
│ │ │ +00199d40: 6375 7465 2074 6869 730a 2309 2020 2072  cute this.#.   r
│ │ │ +00199d50: 656d 6564 6961 7469 6f6e 2041 4654 4552  emediation AFTER
│ │ │ +00199d60: 2074 6573 7469 6e67 206f 6e20 6120 6e6f   testing on a no
│ │ │ +00199d70: 6e2d 7072 6f64 7563 7469 6f6e 0a23 0920  n-production.#. 
│ │ │ +00199d80: 2020 7379 7374 656d 210a 0a44 4542 4941    system!..DEBIA
│ │ │ +00199d90: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +00199da0: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +00199db0: 7420 7265 6d6f 7665 202d 7920 2272 7368  t remove -y "rsh
│ │ │ +00199dc0: 2d73 6572 7665 7222 0a3c 2f63 6f64 653e  -server".</code>
│ │ │ +00199dd0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00199de0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00199df0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00199e00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00199e10: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +00199e20: 3131 3339 2220 7461 6269 6e64 6578 3d22  1139" tabindex="
│ │ │ +00199e30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00199e40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00199e50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00199e60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00199e70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00199e80: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +00199e90: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00199ea0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00199eb0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00199ec0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +00199ed0: 3133 3922 3e3c 7461 626c 6520 636c 6173  139"><table clas
│ │ │ +00199ee0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00199ef0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00199f00: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00199f10: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00199f20: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00199f30: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00199f40: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00199f50: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00199f60: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00199f70: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00199f80: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00199f90: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00199fa0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00199fb0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00199fc0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00199fd0: 636c 7564 6520 7265 6d6f 7665 5f72 7368  clude remove_rsh
│ │ │ +00199fe0: 2d73 6572 7665 720a 0a63 6c61 7373 2072  -server..class r
│ │ │ +00199ff0: 656d 6f76 655f 7273 682d 7365 7276 6572  emove_rsh-server
│ │ │ +0019a000: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0019a010: 7273 682d 7365 7276 6572 273a 0a20 2020  rsh-server':.   
│ │ │ +0019a020: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +0019a030: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  0019a040: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  0019a050: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  0019a060: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  0019a070: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  0019a080: 6174 612d 7474 2d69 643d 2278 6363 6466  ata-tt-id="xccdf
│ │ │  0019a090: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  0019a0a0: 636f 6e74 656e 745f 7275 6c65 5f70 6163  content_rule_pac
│ │ │ @@ -105144,138 +105144,138 @@
│ │ │  0019ab70: 7461 7267 6574 3d22 2369 646d 3231 3136  target="#idm2116
│ │ │  0019ab80: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │  0019ab90: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  0019aba0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  0019abb0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  0019abc0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  0019abd0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0019abe0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -0019abf0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0019ac00: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0019ac10: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0019ac20: 7365 2220 6964 3d22 6964 6d32 3131 3639  se" id="idm21169
│ │ │ -0019ac30: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0019ac40: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0019ac50: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0019ac60: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0019ac70: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0019ac80: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0019ac90: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0019aca0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0019acb0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0019acc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0019acd0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0019ace0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0019acf0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0019ad00: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0019ad10: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0019ad20: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -0019ad30: 6465 2072 656d 6f76 655f 7273 680a 0a63  de remove_rsh..c
│ │ │ -0019ad40: 6c61 7373 2072 656d 6f76 655f 7273 6820  lass remove_rsh 
│ │ │ -0019ad50: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ -0019ad60: 7368 273a 0a20 2020 2065 6e73 7572 6520  sh':.    ensure 
│ │ │ -0019ad70: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -0019ad80: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0019ad90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0019ada0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0019adb0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0019adc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0019add0: 7461 7267 6574 3d22 2369 646d 3231 3137  target="#idm2117
│ │ │ -0019ade0: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ -0019adf0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0019ae00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0019ae10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0019ae20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0019ae30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0019ae40: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -0019ae50: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0019ae60: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0019ae70: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0019ae80: 7073 6522 2069 643d 2269 646d 3231 3137  pse" id="idm2117
│ │ │ -0019ae90: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ -0019aea0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0019aeb0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0019aec0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0019aed0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0019aee0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0019aef0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0019af00: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0019af10: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0019af20: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0019af30: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0019af40: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0019af50: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0019af60: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0019af70: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0019af80: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -0019af90: 6d65 3a20 456e 7375 7265 2072 7368 2069  me: Ensure rsh i
│ │ │ -0019afa0: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -0019afb0: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ -0019afc0: 7368 0a20 2020 2073 7461 7465 3a20 6162  sh.    state: ab
│ │ │ -0019afd0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -0019afe0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -0019aff0: 312e 3133 0a20 202d 2050 4349 2d44 5353  1.13.  - PCI-DSS
│ │ │ -0019b000: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -0019b010: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -0019b020: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -0019b030: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0019b040: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0019b050: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -0019b060: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -0019b070: 6163 6b61 6765 5f72 7368 5f72 656d 6f76  ackage_rsh_remov
│ │ │ -0019b080: 6564 0a20 202d 2075 6e6b 6e6f 776e 5f73  ed.  - unknown_s
│ │ │ -0019b090: 6576 6572 6974 790a 3c2f 636f 6465 3e3c  everity.</code><
│ │ │ -0019b0a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0019b0b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0019b0c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0019b0d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0019b0e0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ -0019b0f0: 3137 3122 2074 6162 696e 6465 783d 2230  171" tabindex="0
│ │ │ -0019b100: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0019b110: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0019b120: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0019b130: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0019b140: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0019b150: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0019b160: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0019b170: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0019b180: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0019b190: 7365 2220 6964 3d22 6964 6d32 3131 3731  se" id="idm21171
│ │ │ -0019b1a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0019b1b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0019b1c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0019b1d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0019b1e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0019b1f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0019b200: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0019b210: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0019b220: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0019b230: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0019b240: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0019b250: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0019b260: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0019b270: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0019b280: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0019b290: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -0019b2a0: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -0019b2b0: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -0019b2c0: 696c 6c20 7265 6d6f 7665 2072 7368 0a23  ill remove rsh.#
│ │ │ -0019b2d0: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -0019b2e0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -0019b2f0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -0019b300: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -0019b310: 6420 6f6e 2072 7368 2e20 4578 6563 7574  d on rsh. Execut
│ │ │ -0019b320: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ -0019b330: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ -0019b340: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ -0019b350: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ -0019b360: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ -0019b370: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -0019b380: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ -0019b390: 656d 6f76 6520 2d79 2022 7273 6822 0a3c  emove -y "rsh".<
│ │ │ +0019abe0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +0019abf0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0019ac00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0019ac10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0019ac20: 7073 6522 2069 643d 2269 646d 3231 3136  pse" id="idm2116
│ │ │ +0019ac30: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ +0019ac40: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0019ac50: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0019ac60: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0019ac70: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0019ac80: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0019ac90: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0019aca0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0019acb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0019acc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0019acd0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0019ace0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0019acf0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0019ad00: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0019ad10: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0019ad20: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +0019ad30: 6d65 3a20 456e 7375 7265 2072 7368 2069  me: Ensure rsh i
│ │ │ +0019ad40: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +0019ad50: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ +0019ad60: 7368 0a20 2020 2073 7461 7465 3a20 6162  sh.    state: ab
│ │ │ +0019ad70: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +0019ad80: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +0019ad90: 312e 3133 0a20 202d 2050 4349 2d44 5353  1.13.  - PCI-DSS
│ │ │ +0019ada0: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ +0019adb0: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ +0019adc0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0019add0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0019ade0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0019adf0: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ +0019ae00: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0019ae10: 6163 6b61 6765 5f72 7368 5f72 656d 6f76  ackage_rsh_remov
│ │ │ +0019ae20: 6564 0a20 202d 2075 6e6b 6e6f 776e 5f73  ed.  - unknown_s
│ │ │ +0019ae30: 6576 6572 6974 790a 3c2f 636f 6465 3e3c  everity.</code><
│ │ │ +0019ae40: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0019ae50: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0019ae60: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0019ae70: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0019ae80: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ +0019ae90: 3137 3022 2074 6162 696e 6465 783d 2230  170" tabindex="0
│ │ │ +0019aea0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0019aeb0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0019aec0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0019aed0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0019aee0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0019aef0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +0019af00: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +0019af10: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0019af20: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0019af30: 7365 2220 6964 3d22 6964 6d32 3131 3730  se" id="idm21170
│ │ │ +0019af40: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0019af50: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0019af60: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0019af70: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0019af80: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0019af90: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0019afa0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0019afb0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0019afc0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0019afd0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0019afe0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0019aff0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0019b000: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0019b010: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +0019b020: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0019b030: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ +0019b040: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ +0019b050: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ +0019b060: 696c 6c20 7265 6d6f 7665 2072 7368 0a23  ill remove rsh.#
│ │ │ +0019b070: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +0019b080: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +0019b090: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +0019b0a0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +0019b0b0: 6420 6f6e 2072 7368 2e20 4578 6563 7574  d on rsh. Execut
│ │ │ +0019b0c0: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ +0019b0d0: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ +0019b0e0: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ +0019b0f0: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ +0019b100: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ +0019b110: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +0019b120: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ +0019b130: 656d 6f76 6520 2d79 2022 7273 6822 0a3c  emove -y "rsh".<
│ │ │ +0019b140: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0019b150: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0019b160: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0019b170: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0019b180: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0019b190: 2223 6964 6d32 3131 3731 2220 7461 6269  "#idm21171" tabi
│ │ │ +0019b1a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0019b1b0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0019b1c0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0019b1d0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0019b1e0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0019b1f0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0019b200: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0019b210: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0019b220: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0019b230: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0019b240: 2269 646d 3231 3137 3122 3e3c 7461 626c  "idm21171"><tabl
│ │ │ +0019b250: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0019b260: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0019b270: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0019b280: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0019b290: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0019b2a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0019b2b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0019b2c0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0019b2d0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0019b2e0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0019b2f0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0019b300: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0019b310: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0019b320: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +0019b330: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0019b340: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +0019b350: 7665 5f72 7368 0a0a 636c 6173 7320 7265  ve_rsh..class re
│ │ │ +0019b360: 6d6f 7665 5f72 7368 207b 0a20 2070 6163  move_rsh {.  pac
│ │ │ +0019b370: 6b61 6765 207b 2027 7273 6827 3a0a 2020  kage { 'rsh':.  
│ │ │ +0019b380: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +0019b390: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  0019b3a0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0019b3b0: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0019b3c0: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0019b3d0: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0019b3e0: 6461 7461 2d74 742d 6964 3d22 6368 696c  data-tt-id="chil
│ │ │  0019b3f0: 6472 656e 2d78 6363 6466 5f6f 7267 2e73  dren-xccdf_org.s
│ │ │  0019b400: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │ @@ -105483,141 +105483,141 @@
│ │ │  0019c0a0: 743d 2223 6964 6d32 3133 3036 2220 7461  t="#idm21306" ta
│ │ │  0019c0b0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0019c0c0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0019c0d0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0019c0e0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0019c0f0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0019c100: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0019c110: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -0019c120: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0019c130: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0019c140: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0019c150: 643d 2269 646d 3231 3330 3622 3e3c 7461  d="idm21306"><ta
│ │ │ -0019c160: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0019c170: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0019c180: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0019c190: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0019c1a0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0019c1b0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0019c1c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0019c1d0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0019c1e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0019c1f0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0019c200: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0019c210: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0019c220: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0019c230: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -0019c240: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0019c250: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -0019c260: 6d6f 7665 5f74 616c 6b2d 7365 7276 6572  move_talk-server
│ │ │ -0019c270: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ -0019c280: 616c 6b2d 7365 7276 6572 207b 0a20 2070  alk-server {.  p
│ │ │ -0019c290: 6163 6b61 6765 207b 2027 7461 6c6b 2d73  ackage { 'talk-s
│ │ │ -0019c2a0: 6572 7665 7227 3a0a 2020 2020 656e 7375  erver':.    ensu
│ │ │ -0019c2b0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -0019c2c0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0019c2d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0019c2e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0019c2f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0019c300: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0019c310: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -0019c320: 3133 3037 2220 7461 6269 6e64 6578 3d22  1307" tabindex="
│ │ │ -0019c330: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0019c340: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0019c350: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0019c360: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0019c370: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0019c380: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0019c390: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0019c3a0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0019c3b0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0019c3c0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0019c3d0: 3133 3037 223e 3c74 6162 6c65 2063 6c61  1307"><table cla
│ │ │ -0019c3e0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0019c3f0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0019c400: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0019c410: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0019c420: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0019c430: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0019c440: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0019c450: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0019c460: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0019c470: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0019c480: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0019c490: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0019c4a0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -0019c4b0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0019c4c0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0019c4d0: 206e 616d 653a 2045 6e73 7572 6520 7461   name: Ensure ta
│ │ │ -0019c4e0: 6c6b 2d73 6572 7665 7220 6973 2072 656d  lk-server is rem
│ │ │ -0019c4f0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ -0019c500: 2020 2020 6e61 6d65 3a20 7461 6c6b 2d73      name: talk-s
│ │ │ -0019c510: 6572 7665 720a 2020 2020 7374 6174 653a  erver.    state:
│ │ │ -0019c520: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -0019c530: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -0019c540: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -0019c550: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ -0019c560: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0019c570: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0019c580: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0019c590: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0019c5a0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0019c5b0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0019c5c0: 636b 6167 655f 7461 6c6b 2d73 6572 7665  ckage_talk-serve
│ │ │ -0019c5d0: 725f 7265 6d6f 7665 640a 3c2f 636f 6465  r_removed.</code
│ │ │ -0019c5e0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0019c5f0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0019c600: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0019c610: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0019c620: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0019c630: 3231 3330 3822 2074 6162 696e 6465 783d  21308" tabindex=
│ │ │ -0019c640: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0019c650: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0019c660: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0019c670: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0019c680: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0019c690: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -0019c6a0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -0019c6b0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0019c6c0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0019c6d0: 6170 7365 2220 6964 3d22 6964 6d32 3133  apse" id="idm213
│ │ │ -0019c6e0: 3038 223e 3c74 6162 6c65 2063 6c61 7373  08"><table class
│ │ │ -0019c6f0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -0019c700: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -0019c710: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -0019c720: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -0019c730: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -0019c740: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0019c750: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -0019c760: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -0019c770: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0019c780: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -0019c790: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -0019c7a0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -0019c7b0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -0019c7c0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0019c7d0: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ -0019c7e0: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ -0019c7f0: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ -0019c800: 2077 696c 6c20 7265 6d6f 7665 2074 616c   will remove tal
│ │ │ -0019c810: 6b2d 7365 7276 6572 0a23 0920 2020 6672  k-server.#.   fr
│ │ │ -0019c820: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ -0019c830: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ -0019c840: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ -0019c850: 7468 6174 2064 6570 656e 6420 6f6e 2074  that depend on t
│ │ │ -0019c860: 616c 6b2d 7365 7276 6572 2e20 4578 6563  alk-server. Exec
│ │ │ -0019c870: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -0019c880: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -0019c890: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -0019c8a0: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -0019c8b0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -0019c8c0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -0019c8d0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -0019c8e0: 2072 656d 6f76 6520 2d79 2022 7461 6c6b   remove -y "talk
│ │ │ -0019c8f0: 2d73 6572 7665 7222 0a3c 2f63 6f64 653e  -server".</code>
│ │ │ +0019c110: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0019c120: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0019c130: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0019c140: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0019c150: 6964 3d22 6964 6d32 3133 3036 223e 3c74  id="idm21306"><t
│ │ │ +0019c160: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0019c170: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0019c180: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0019c190: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0019c1a0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0019c1b0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0019c1c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0019c1d0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0019c1e0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0019c1f0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0019c200: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0019c210: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0019c220: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0019c230: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0019c240: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0019c250: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +0019c260: 6e73 7572 6520 7461 6c6b 2d73 6572 7665  nsure talk-serve
│ │ │ +0019c270: 7220 6973 2072 656d 6f76 6564 0a20 2070  r is removed.  p
│ │ │ +0019c280: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +0019c290: 3a20 7461 6c6b 2d73 6572 7665 720a 2020  : talk-server.  
│ │ │ +0019c2a0: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +0019c2b0: 2020 7461 6773 3a0a 2020 2d20 5043 492d    tags:.  - PCI-
│ │ │ +0019c2c0: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +0019c2d0: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +0019c2e0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +0019c2f0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +0019c300: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +0019c310: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +0019c320: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +0019c330: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +0019c340: 640a 2020 2d20 7061 636b 6167 655f 7461  d.  - package_ta
│ │ │ +0019c350: 6c6b 2d73 6572 7665 725f 7265 6d6f 7665  lk-server_remove
│ │ │ +0019c360: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0019c370: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0019c380: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0019c390: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0019c3a0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0019c3b0: 6574 3d22 2369 646d 3231 3330 3722 2074  et="#idm21307" t
│ │ │ +0019c3c0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0019c3d0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0019c3e0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0019c3f0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0019c400: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0019c410: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0019c420: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +0019c430: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0019c440: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0019c450: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0019c460: 3d22 6964 6d32 3133 3037 223e 3c74 6162  ="idm21307"><tab
│ │ │ +0019c470: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0019c480: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0019c490: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0019c4a0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0019c4b0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0019c4c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0019c4d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0019c4e0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0019c4f0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0019c500: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0019c510: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0019c520: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0019c530: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0019c540: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +0019c550: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0019c560: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ +0019c570: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ +0019c580: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ +0019c590: 6d6f 7665 2074 616c 6b2d 7365 7276 6572  move talk-server
│ │ │ +0019c5a0: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ +0019c5b0: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ +0019c5c0: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ +0019c5d0: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ +0019c5e0: 656e 6420 6f6e 2074 616c 6b2d 7365 7276  end on talk-serv
│ │ │ +0019c5f0: 6572 2e20 4578 6563 7574 6520 7468 6973  er. Execute this
│ │ │ +0019c600: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ +0019c610: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ +0019c620: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ +0019c630: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ +0019c640: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +0019c650: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +0019c660: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ +0019c670: 2d79 2022 7461 6c6b 2d73 6572 7665 7222  -y "talk-server"
│ │ │ +0019c680: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0019c690: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0019c6a0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0019c6b0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0019c6c0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0019c6d0: 743d 2223 6964 6d32 3133 3038 2220 7461  t="#idm21308" ta
│ │ │ +0019c6e0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0019c6f0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0019c700: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0019c710: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0019c720: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0019c730: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0019c740: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +0019c750: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0019c760: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0019c770: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0019c780: 643d 2269 646d 3231 3330 3822 3e3c 7461  d="idm21308"><ta
│ │ │ +0019c790: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0019c7a0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0019c7b0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0019c7c0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0019c7d0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0019c7e0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0019c7f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0019c800: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0019c810: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0019c820: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0019c830: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0019c840: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0019c850: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0019c860: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +0019c870: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0019c880: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ +0019c890: 6d6f 7665 5f74 616c 6b2d 7365 7276 6572  move_talk-server
│ │ │ +0019c8a0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ +0019c8b0: 616c 6b2d 7365 7276 6572 207b 0a20 2070  alk-server {.  p
│ │ │ +0019c8c0: 6163 6b61 6765 207b 2027 7461 6c6b 2d73  ackage { 'talk-s
│ │ │ +0019c8d0: 6572 7665 7227 3a0a 2020 2020 656e 7375  erver':.    ensu
│ │ │ +0019c8e0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +0019c8f0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  0019c900: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  0019c910: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  0019c920: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  0019c930: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  0019c940: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  0019c950: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  0019c960: 6e74 5f72 756c 655f 7061 636b 6167 655f  nt_rule_package_
│ │ │ @@ -105782,138 +105782,138 @@
│ │ │  0019d350: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  0019d360: 3133 3330 2220 7461 6269 6e64 6578 3d22  1330" tabindex="
│ │ │  0019d370: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  0019d380: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  0019d390: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  0019d3a0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  0019d3b0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0019d3c0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -0019d3d0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0019d3e0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0019d3f0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0019d400: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ -0019d410: 3333 3022 3e3c 7461 626c 6520 636c 6173  330"><table clas
│ │ │ -0019d420: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0019d430: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0019d440: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0019d450: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0019d460: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0019d470: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0019d480: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0019d490: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0019d4a0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0019d4b0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0019d4c0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0019d4d0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0019d4e0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -0019d4f0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0019d500: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -0019d510: 636c 7564 6520 7265 6d6f 7665 5f74 616c  clude remove_tal
│ │ │ -0019d520: 6b0a 0a63 6c61 7373 2072 656d 6f76 655f  k..class remove_
│ │ │ -0019d530: 7461 6c6b 207b 0a20 2070 6163 6b61 6765  talk {.  package
│ │ │ -0019d540: 207b 2027 7461 6c6b 273a 0a20 2020 2065   { 'talk':.    e
│ │ │ -0019d550: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -0019d560: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -0019d570: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0019d580: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0019d590: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0019d5a0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0019d5b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0019d5c0: 646d 3231 3333 3122 2074 6162 696e 6465  dm21331" tabinde
│ │ │ -0019d5d0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0019d5e0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0019d5f0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0019d600: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0019d610: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0019d620: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0019d630: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0019d640: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0019d650: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0019d660: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0019d670: 646d 3231 3333 3122 3e3c 7461 626c 6520  dm21331"><table 
│ │ │ -0019d680: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0019d690: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0019d6a0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0019d6b0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0019d6c0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0019d6d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0019d6e0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0019d6f0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0019d700: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0019d710: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0019d720: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0019d730: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0019d740: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0019d750: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0019d760: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0019d770: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -0019d780: 2074 616c 6b20 6973 2072 656d 6f76 6564   talk is removed
│ │ │ -0019d790: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -0019d7a0: 6e61 6d65 3a20 7461 6c6b 0a20 2020 2073  name: talk.    s
│ │ │ -0019d7b0: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -0019d7c0: 6167 733a 0a20 202d 2050 4349 2d44 5353  ags:.  - PCI-DSS
│ │ │ -0019d7d0: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -0019d7e0: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -0019d7f0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -0019d800: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0019d810: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0019d820: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -0019d830: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -0019d840: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0019d850: 202d 2070 6163 6b61 6765 5f74 616c 6b5f   - package_talk_
│ │ │ -0019d860: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -0019d870: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0019d880: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0019d890: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0019d8a0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0019d8b0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ -0019d8c0: 3333 3222 2074 6162 696e 6465 783d 2230  332" tabindex="0
│ │ │ -0019d8d0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0019d8e0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0019d8f0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0019d900: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0019d910: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0019d920: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0019d930: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0019d940: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0019d950: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0019d960: 7365 2220 6964 3d22 6964 6d32 3133 3332  se" id="idm21332
│ │ │ -0019d970: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0019d980: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0019d990: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0019d9a0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0019d9b0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0019d9c0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0019d9d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0019d9e0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0019d9f0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0019da00: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0019da10: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0019da20: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0019da30: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0019da40: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0019da50: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0019da60: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -0019da70: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -0019da80: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -0019da90: 696c 6c20 7265 6d6f 7665 2074 616c 6b0a  ill remove talk.
│ │ │ -0019daa0: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ -0019dab0: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ -0019dac0: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ -0019dad0: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ -0019dae0: 6e64 206f 6e20 7461 6c6b 2e20 4578 6563  nd on talk. Exec
│ │ │ -0019daf0: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -0019db00: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -0019db10: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -0019db20: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -0019db30: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -0019db40: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -0019db50: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -0019db60: 2072 656d 6f76 6520 2d79 2022 7461 6c6b   remove -y "talk
│ │ │ -0019db70: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +0019d3c0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +0019d3d0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0019d3e0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0019d3f0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0019d400: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0019d410: 3133 3330 223e 3c74 6162 6c65 2063 6c61  1330"><table cla
│ │ │ +0019d420: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0019d430: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0019d440: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0019d450: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0019d460: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0019d470: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0019d480: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0019d490: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0019d4a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0019d4b0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0019d4c0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0019d4d0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0019d4e0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0019d4f0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0019d500: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +0019d510: 206e 616d 653a 2045 6e73 7572 6520 7461   name: Ensure ta
│ │ │ +0019d520: 6c6b 2069 7320 7265 6d6f 7665 640a 2020  lk is removed.  
│ │ │ +0019d530: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +0019d540: 653a 2074 616c 6b0a 2020 2020 7374 6174  e: talk.    stat
│ │ │ +0019d550: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +0019d560: 3a0a 2020 2d20 5043 492d 4453 5376 342d  :.  - PCI-DSSv4-
│ │ │ +0019d570: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +0019d580: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ +0019d590: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0019d5a0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0019d5b0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0019d5c0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +0019d5d0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0019d5e0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0019d5f0: 7061 636b 6167 655f 7461 6c6b 5f72 656d  package_talk_rem
│ │ │ +0019d600: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +0019d610: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0019d620: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0019d630: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0019d640: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0019d650: 6172 6765 743d 2223 6964 6d32 3133 3331  arget="#idm21331
│ │ │ +0019d660: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0019d670: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0019d680: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0019d690: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0019d6a0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0019d6b0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0019d6c0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +0019d6d0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0019d6e0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0019d6f0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0019d700: 2069 643d 2269 646d 3231 3333 3122 3e3c   id="idm21331"><
│ │ │ +0019d710: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0019d720: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0019d730: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0019d740: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0019d750: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0019d760: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0019d770: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0019d780: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0019d790: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0019d7a0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0019d7b0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0019d7c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0019d7d0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0019d7e0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +0019d7f0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0019d800: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +0019d810: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +0019d820: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +0019d830: 2072 656d 6f76 6520 7461 6c6b 0a23 0920   remove talk.#. 
│ │ │ +0019d840: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ +0019d850: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ +0019d860: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ +0019d870: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ +0019d880: 6f6e 2074 616c 6b2e 2045 7865 6375 7465  on talk. Execute
│ │ │ +0019d890: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ +0019d8a0: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ +0019d8b0: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ +0019d8c0: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ +0019d8d0: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ +0019d8e0: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +0019d8f0: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ +0019d900: 6d6f 7665 202d 7920 2274 616c 6b22 0a3c  move -y "talk".<
│ │ │ +0019d910: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0019d920: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0019d930: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0019d940: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0019d950: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0019d960: 2223 6964 6d32 3133 3332 2220 7461 6269  "#idm21332" tabi
│ │ │ +0019d970: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0019d980: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0019d990: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0019d9a0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0019d9b0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0019d9c0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0019d9d0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0019d9e0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0019d9f0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0019da00: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0019da10: 2269 646d 3231 3333 3222 3e3c 7461 626c  "idm21332"><tabl
│ │ │ +0019da20: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0019da30: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0019da40: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0019da50: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0019da60: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0019da70: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0019da80: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0019da90: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0019daa0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0019dab0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0019dac0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0019dad0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0019dae0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0019daf0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +0019db00: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0019db10: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +0019db20: 7665 5f74 616c 6b0a 0a63 6c61 7373 2072  ve_talk..class r
│ │ │ +0019db30: 656d 6f76 655f 7461 6c6b 207b 0a20 2070  emove_talk {.  p
│ │ │ +0019db40: 6163 6b61 6765 207b 2027 7461 6c6b 273a  ackage { 'talk':
│ │ │ +0019db50: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +0019db60: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +0019db70: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  0019db80: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  0019db90: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  0019dba0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  0019dbb0: 7472 2064 6174 612d 7474 2d69 643d 2263  tr data-tt-id="c
│ │ │  0019dbc0: 6869 6c64 7265 6e2d 7863 6364 665f 6f72  hildren-xccdf_or
│ │ │  0019dbd0: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  0019dbe0: 7465 6e74 5f67 726f 7570 5f74 656c 6e65  tent_group_telne
│ │ │ @@ -106283,148 +106283,148 @@
│ │ │  0019f2a0: 7461 7267 6574 3d22 2369 646d 3231 3435  target="#idm2145
│ │ │  0019f2b0: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │  0019f2c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  0019f2d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  0019f2e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  0019f2f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  0019f300: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0019f310: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -0019f320: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0019f330: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0019f340: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0019f350: 7365 2220 6964 3d22 6964 6d32 3134 3531  se" id="idm21451
│ │ │ -0019f360: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0019f370: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0019f380: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0019f390: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0019f3a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0019f3b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0019f3c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0019f3d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0019f3e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0019f3f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0019f400: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0019f410: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0019f420: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0019f430: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0019f440: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0019f450: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -0019f460: 6465 2072 656d 6f76 655f 7465 6c6e 6574  de remove_telnet
│ │ │ -0019f470: 2d73 6572 7665 720a 0a63 6c61 7373 2072  -server..class r
│ │ │ -0019f480: 656d 6f76 655f 7465 6c6e 6574 2d73 6572  emove_telnet-ser
│ │ │ -0019f490: 7665 7220 7b0a 2020 7061 636b 6167 6520  ver {.  package 
│ │ │ -0019f4a0: 7b20 2774 656c 6e65 742d 7365 7276 6572  { 'telnet-server
│ │ │ -0019f4b0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -0019f4c0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -0019f4d0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0019f4e0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0019f4f0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0019f500: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0019f510: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0019f520: 7267 6574 3d22 2369 646d 3231 3435 3222  rget="#idm21452"
│ │ │ -0019f530: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0019f540: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0019f550: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0019f560: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0019f570: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0019f580: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0019f590: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -0019f5a0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0019f5b0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0019f5c0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0019f5d0: 6522 2069 643d 2269 646d 3231 3435 3222  e" id="idm21452"
│ │ │ -0019f5e0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0019f5f0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0019f600: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0019f610: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0019f620: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0019f630: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0019f640: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0019f650: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0019f660: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0019f670: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0019f680: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0019f690: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0019f6a0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0019f6b0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0019f6c0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0019f6d0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0019f6e0: 3a20 456e 7375 7265 2074 656c 6e65 742d  : Ensure telnet-
│ │ │ -0019f6f0: 7365 7276 6572 2069 7320 7265 6d6f 7665  server is remove
│ │ │ -0019f700: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -0019f710: 206e 616d 653a 2074 656c 6e65 742d 7365   name: telnet-se
│ │ │ -0019f720: 7276 6572 0a20 2020 2073 7461 7465 3a20  rver.    state: 
│ │ │ -0019f730: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -0019f740: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0019f750: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -0019f760: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -0019f770: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0019f780: 4d2d 3728 6229 0a20 202d 2050 4349 2d44  M-7(b).  - PCI-D
│ │ │ -0019f790: 5353 2d52 6571 2d32 2e32 2e32 0a20 202d  SS-Req-2.2.2.  -
│ │ │ -0019f7a0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ -0019f7b0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -0019f7c0: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ -0019f7d0: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ -0019f7e0: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ -0019f7f0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -0019f800: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -0019f810: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0019f820: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0019f830: 5f74 656c 6e65 742d 7365 7276 6572 5f72  _telnet-server_r
│ │ │ -0019f840: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ -0019f850: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -0019f860: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -0019f870: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -0019f880: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -0019f890: 2d74 6172 6765 743d 2223 6964 6d32 3134  -target="#idm214
│ │ │ -0019f8a0: 3533 2220 7461 6269 6e64 6578 3d22 3022  53" tabindex="0"
│ │ │ -0019f8b0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -0019f8c0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -0019f8d0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -0019f8e0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -0019f8f0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0019f900: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -0019f910: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -0019f920: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0019f930: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0019f940: 6522 2069 643d 2269 646d 3231 3435 3322  e" id="idm21453"
│ │ │ -0019f950: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0019f960: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0019f970: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0019f980: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0019f990: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0019f9a0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0019f9b0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0019f9c0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0019f9d0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0019f9e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0019f9f0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0019fa00: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0019fa10: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0019fa20: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0019fa30: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0019fa40: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -0019fa50: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -0019fa60: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -0019fa70: 6c6c 2072 656d 6f76 6520 7465 6c6e 6574  ll remove telnet
│ │ │ -0019fa80: 2d73 6572 7665 720a 2309 2020 2066 726f  -server.#.   fro
│ │ │ -0019fa90: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ -0019faa0: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ -0019fab0: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ -0019fac0: 6861 7420 6465 7065 6e64 206f 6e20 7465  hat depend on te
│ │ │ -0019fad0: 6c6e 6574 2d73 6572 7665 722e 2045 7865  lnet-server. Exe
│ │ │ -0019fae0: 6375 7465 2074 6869 730a 2309 2020 2072  cute this.#.   r
│ │ │ -0019faf0: 656d 6564 6961 7469 6f6e 2041 4654 4552  emediation AFTER
│ │ │ -0019fb00: 2074 6573 7469 6e67 206f 6e20 6120 6e6f   testing on a no
│ │ │ -0019fb10: 6e2d 7072 6f64 7563 7469 6f6e 0a23 0920  n-production.#. 
│ │ │ -0019fb20: 2020 7379 7374 656d 210a 0a44 4542 4941    system!..DEBIA
│ │ │ -0019fb30: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -0019fb40: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -0019fb50: 7420 7265 6d6f 7665 202d 7920 2274 656c  t remove -y "tel
│ │ │ -0019fb60: 6e65 742d 7365 7276 6572 220a 3c2f 636f  net-server".</co
│ │ │ +0019f310: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +0019f320: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0019f330: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0019f340: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0019f350: 7073 6522 2069 643d 2269 646d 3231 3435  pse" id="idm2145
│ │ │ +0019f360: 3122 3e3c 7461 626c 6520 636c 6173 733d  1"><table class=
│ │ │ +0019f370: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0019f380: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0019f390: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0019f3a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0019f3b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0019f3c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0019f3d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0019f3e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0019f3f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0019f400: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0019f410: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0019f420: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0019f430: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0019f440: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0019f450: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +0019f460: 6d65 3a20 456e 7375 7265 2074 656c 6e65  me: Ensure telne
│ │ │ +0019f470: 742d 7365 7276 6572 2069 7320 7265 6d6f  t-server is remo
│ │ │ +0019f480: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +0019f490: 2020 206e 616d 653a 2074 656c 6e65 742d     name: telnet-
│ │ │ +0019f4a0: 7365 7276 6572 0a20 2020 2073 7461 7465  server.    state
│ │ │ +0019f4b0: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ +0019f4c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0019f4d0: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ +0019f4e0: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ +0019f4f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0019f500: 2d43 4d2d 3728 6229 0a20 202d 2050 4349  -CM-7(b).  - PCI
│ │ │ +0019f510: 2d44 5353 2d52 6571 2d32 2e32 2e32 0a20  -DSS-Req-2.2.2. 
│ │ │ +0019f520: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +0019f530: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +0019f540: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ +0019f550: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ +0019f560: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ +0019f570: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0019f580: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0019f590: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ +0019f5a0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0019f5b0: 6765 5f74 656c 6e65 742d 7365 7276 6572  ge_telnet-server
│ │ │ +0019f5c0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +0019f5d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0019f5e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0019f5f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0019f600: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0019f610: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +0019f620: 3134 3532 2220 7461 6269 6e64 6578 3d22  1452" tabindex="
│ │ │ +0019f630: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0019f640: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0019f650: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0019f660: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0019f670: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0019f680: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +0019f690: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +0019f6a0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0019f6b0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0019f6c0: 7073 6522 2069 643d 2269 646d 3231 3435  pse" id="idm2145
│ │ │ +0019f6d0: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ +0019f6e0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0019f6f0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0019f700: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0019f710: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0019f720: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0019f730: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0019f740: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0019f750: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0019f760: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0019f770: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0019f780: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0019f790: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0019f7a0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0019f7b0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0019f7c0: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ +0019f7d0: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ +0019f7e0: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ +0019f7f0: 7769 6c6c 2072 656d 6f76 6520 7465 6c6e  will remove teln
│ │ │ +0019f800: 6574 2d73 6572 7665 720a 2309 2020 2066  et-server.#.   f
│ │ │ +0019f810: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ +0019f820: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ +0019f830: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ +0019f840: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ +0019f850: 7465 6c6e 6574 2d73 6572 7665 722e 2045  telnet-server. E
│ │ │ +0019f860: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ +0019f870: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ +0019f880: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ +0019f890: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ +0019f8a0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ +0019f8b0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +0019f8c0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +0019f8d0: 6765 7420 7265 6d6f 7665 202d 7920 2274  get remove -y "t
│ │ │ +0019f8e0: 656c 6e65 742d 7365 7276 6572 220a 3c2f  elnet-server".</
│ │ │ +0019f8f0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0019f900: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0019f910: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0019f920: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0019f930: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0019f940: 2369 646d 3231 3435 3322 2074 6162 696e  #idm21453" tabin
│ │ │ +0019f950: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0019f960: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0019f970: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0019f980: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0019f990: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0019f9a0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0019f9b0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0019f9c0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0019f9d0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0019f9e0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0019f9f0: 6964 6d32 3134 3533 223e 3c74 6162 6c65  idm21453"><table
│ │ │ +0019fa00: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0019fa10: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0019fa20: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0019fa30: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0019fa40: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0019fa50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0019fa60: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0019fa70: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0019fa80: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0019fa90: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0019faa0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0019fab0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0019fac0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0019fad0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0019fae0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0019faf0: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +0019fb00: 655f 7465 6c6e 6574 2d73 6572 7665 720a  e_telnet-server.
│ │ │ +0019fb10: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ +0019fb20: 6c6e 6574 2d73 6572 7665 7220 7b0a 2020  lnet-server {.  
│ │ │ +0019fb30: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ +0019fb40: 742d 7365 7276 6572 273a 0a20 2020 2065  t-server':.    e
│ │ │ +0019fb50: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +0019fb60: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  0019fb70: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  0019fb80: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  0019fb90: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  0019fba0: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  0019fbb0: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  0019fbc0: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  0019fbd0: 6e74 656e 745f 7275 6c65 5f70 6163 6b61  ntent_rule_packa
│ │ │ @@ -106594,140 +106594,140 @@
│ │ │  001a0610: 6574 3d22 2369 646d 3231 3438 3022 2074  et="#idm21480" t
│ │ │  001a0620: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001a0630: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  001a0640: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  001a0650: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  001a0660: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  001a0670: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001a0680: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -001a0690: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -001a06a0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -001a06b0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -001a06c0: 6964 3d22 6964 6d32 3134 3830 223e 3c74  id="idm21480"><t
│ │ │ -001a06d0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -001a06e0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -001a06f0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -001a0700: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -001a0710: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -001a0720: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -001a0730: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001a0740: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -001a0750: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001a0760: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -001a0770: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -001a0780: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001a0790: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -001a07a0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -001a07b0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -001a07c0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -001a07d0: 656d 6f76 655f 7465 6c6e 6574 0a0a 636c  emove_telnet..cl
│ │ │ -001a07e0: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ -001a07f0: 7420 7b0a 2020 7061 636b 6167 6520 7b20  t {.  package { 
│ │ │ -001a0800: 2774 656c 6e65 7427 3a0a 2020 2020 656e  'telnet':.    en
│ │ │ -001a0810: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -001a0820: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -001a0830: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -001a0840: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -001a0850: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -001a0860: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -001a0870: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -001a0880: 6d32 3134 3831 2220 7461 6269 6e64 6578  m21481" tabindex
│ │ │ -001a0890: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -001a08a0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -001a08b0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -001a08c0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -001a08d0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001a08e0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -001a08f0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -001a0900: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001a0910: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001a0920: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001a0930: 6d32 3134 3831 223e 3c74 6162 6c65 2063  m21481"><table c
│ │ │ -001a0940: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001a0950: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001a0960: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001a0970: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001a0980: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001a0990: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001a09a0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001a09b0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001a09c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001a09d0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001a09e0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001a09f0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001a0a00: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001a0a10: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001a0a20: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001a0a30: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -001a0a40: 7465 6c6e 6574 2069 7320 7265 6d6f 7665  telnet is remove
│ │ │ -001a0a50: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -001a0a60: 206e 616d 653a 2074 656c 6e65 740a 2020   name: telnet.  
│ │ │ -001a0a70: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -001a0a80: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -001a0a90: 2d38 3030 2d31 3731 2d33 2e31 2e31 330a  -800-171-3.1.13.
│ │ │ -001a0aa0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -001a0ab0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -001a0ac0: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ -001a0ad0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -001a0ae0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -001a0af0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -001a0b00: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ -001a0b10: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -001a0b20: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -001a0b30: 6765 5f74 656c 6e65 745f 7265 6d6f 7665  ge_telnet_remove
│ │ │ -001a0b40: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -001a0b50: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -001a0b60: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001a0b70: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001a0b80: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001a0b90: 6574 3d22 2369 646d 3231 3438 3222 2074  et="#idm21482" t
│ │ │ -001a0ba0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001a0bb0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001a0bc0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -001a0bd0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -001a0be0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -001a0bf0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001a0c00: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -001a0c10: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001a0c20: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001a0c30: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001a0c40: 3d22 6964 6d32 3134 3832 223e 3c74 6162  ="idm21482"><tab
│ │ │ -001a0c50: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001a0c60: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001a0c70: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001a0c80: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001a0c90: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001a0ca0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001a0cb0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001a0cc0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001a0cd0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001a0ce0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001a0cf0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001a0d00: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001a0d10: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001a0d20: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001a0d30: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001a0d40: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ -001a0d50: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ -001a0d60: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ -001a0d70: 6d6f 7665 2074 656c 6e65 740a 2309 2020  move telnet.#.  
│ │ │ -001a0d80: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -001a0d90: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -001a0da0: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -001a0db0: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -001a0dc0: 6e20 7465 6c6e 6574 2e20 4578 6563 7574  n telnet. Execut
│ │ │ -001a0dd0: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ -001a0de0: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ -001a0df0: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ -001a0e00: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ -001a0e10: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ -001a0e20: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -001a0e30: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ -001a0e40: 656d 6f76 6520 2d79 2022 7465 6c6e 6574  emove -y "telnet
│ │ │ -001a0e50: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +001a0680: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +001a0690: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001a06a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001a06b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001a06c0: 2069 643d 2269 646d 3231 3438 3022 3e3c   id="idm21480"><
│ │ │ +001a06d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001a06e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001a06f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001a0700: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001a0710: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001a0720: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001a0730: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001a0740: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001a0750: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001a0760: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001a0770: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001a0780: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001a0790: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001a07a0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001a07b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001a07c0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +001a07d0: 456e 7375 7265 2074 656c 6e65 7420 6973  Ensure telnet is
│ │ │ +001a07e0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +001a07f0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7465  ge:.    name: te
│ │ │ +001a0800: 6c6e 6574 0a20 2020 2073 7461 7465 3a20  lnet.    state: 
│ │ │ +001a0810: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +001a0820: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +001a0830: 332e 312e 3133 0a20 202d 2050 4349 2d44  3.1.13.  - PCI-D
│ │ │ +001a0840: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +001a0850: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ +001a0860: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +001a0870: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +001a0880: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +001a0890: 7275 7074 696f 6e0a 2020 2d20 6c6f 775f  ruption.  - low_
│ │ │ +001a08a0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001a08b0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +001a08c0: 2d20 7061 636b 6167 655f 7465 6c6e 6574  - package_telnet
│ │ │ +001a08d0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +001a08e0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001a08f0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001a0900: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001a0910: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001a0920: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001a0930: 3134 3831 2220 7461 6269 6e64 6578 3d22  1481" tabindex="
│ │ │ +001a0940: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001a0950: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001a0960: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001a0970: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001a0980: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001a0990: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +001a09a0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +001a09b0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +001a09c0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +001a09d0: 7073 6522 2069 643d 2269 646d 3231 3438  pse" id="idm2148
│ │ │ +001a09e0: 3122 3e3c 7461 626c 6520 636c 6173 733d  1"><table class=
│ │ │ +001a09f0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +001a0a00: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +001a0a10: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001a0a20: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001a0a30: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001a0a40: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001a0a50: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001a0a60: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001a0a70: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +001a0a80: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +001a0a90: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +001a0aa0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +001a0ab0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +001a0ac0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +001a0ad0: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ +001a0ae0: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ +001a0af0: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ +001a0b00: 7769 6c6c 2072 656d 6f76 6520 7465 6c6e  will remove teln
│ │ │ +001a0b10: 6574 0a23 0920 2020 6672 6f6d 2074 6865  et.#.   from the
│ │ │ +001a0b20: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +001a0b30: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +001a0b40: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +001a0b50: 6570 656e 6420 6f6e 2074 656c 6e65 742e  epend on telnet.
│ │ │ +001a0b60: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ +001a0b70: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ +001a0b80: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ +001a0b90: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ +001a0ba0: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ +001a0bb0: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +001a0bc0: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +001a0bd0: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ +001a0be0: 2274 656c 6e65 7422 0a3c 2f63 6f64 653e  "telnet".</code>
│ │ │ +001a0bf0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001a0c00: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001a0c10: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001a0c20: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001a0c30: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001a0c40: 3134 3832 2220 7461 6269 6e64 6578 3d22  1482" tabindex="
│ │ │ +001a0c50: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001a0c60: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001a0c70: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001a0c80: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001a0c90: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001a0ca0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +001a0cb0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001a0cc0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001a0cd0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001a0ce0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001a0cf0: 3438 3222 3e3c 7461 626c 6520 636c 6173  482"><table clas
│ │ │ +001a0d00: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001a0d10: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001a0d20: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001a0d30: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001a0d40: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001a0d50: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001a0d60: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001a0d70: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001a0d80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001a0d90: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001a0da0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001a0db0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001a0dc0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001a0dd0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001a0de0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +001a0df0: 636c 7564 6520 7265 6d6f 7665 5f74 656c  clude remove_tel
│ │ │ +001a0e00: 6e65 740a 0a63 6c61 7373 2072 656d 6f76  net..class remov
│ │ │ +001a0e10: 655f 7465 6c6e 6574 207b 0a20 2070 6163  e_telnet {.  pac
│ │ │ +001a0e20: 6b61 6765 207b 2027 7465 6c6e 6574 273a  kage { 'telnet':
│ │ │ +001a0e30: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +001a0e40: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +001a0e50: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  001a0e60: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  001a0e70: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  001a0e80: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  001a0e90: 7472 2064 6174 612d 7474 2d69 643d 2263  tr data-tt-id="c
│ │ │  001a0ea0: 6869 6c64 7265 6e2d 7863 6364 665f 6f72  hildren-xccdf_or
│ │ │  001a0eb0: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  001a0ec0: 7465 6e74 5f67 726f 7570 5f74 6674 7022  tent_group_tftp"
│ │ │ @@ -107061,146 +107061,146 @@
│ │ │  001a2340: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  001a2350: 2369 646d 3231 3539 3422 2074 6162 696e  #idm21594" tabin
│ │ │  001a2360: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  001a2370: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  001a2380: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  001a2390: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  001a23a0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001a23b0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -001a23c0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -001a23d0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -001a23e0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -001a23f0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -001a2400: 6964 6d32 3135 3934 223e 3c74 6162 6c65  idm21594"><table
│ │ │ -001a2410: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -001a2420: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -001a2430: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -001a2440: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -001a2450: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -001a2460: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001a2470: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -001a2480: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -001a2490: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001a24a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -001a24b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -001a24c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -001a24d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -001a24e0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -001a24f0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -001a2500: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ -001a2510: 655f 7466 7470 2d73 6572 7665 720a 0a63  e_tftp-server..c
│ │ │ -001a2520: 6c61 7373 2072 656d 6f76 655f 7466 7470  lass remove_tftp
│ │ │ -001a2530: 2d73 6572 7665 7220 7b0a 2020 7061 636b  -server {.  pack
│ │ │ -001a2540: 6167 6520 7b20 2774 6674 702d 7365 7276  age { 'tftp-serv
│ │ │ -001a2550: 6572 273a 0a20 2020 2065 6e73 7572 6520  er':.    ensure 
│ │ │ -001a2560: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -001a2570: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -001a2580: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -001a2590: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -001a25a0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -001a25b0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -001a25c0: 7461 7267 6574 3d22 2369 646d 3231 3539  target="#idm2159
│ │ │ -001a25d0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │ -001a25e0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -001a25f0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -001a2600: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -001a2610: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -001a2620: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001a2630: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -001a2640: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -001a2650: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001a2660: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001a2670: 7073 6522 2069 643d 2269 646d 3231 3539  pse" id="idm2159
│ │ │ -001a2680: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ -001a2690: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001a26a0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001a26b0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001a26c0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001a26d0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001a26e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001a26f0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -001a2700: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001a2710: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -001a2720: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -001a2730: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -001a2740: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -001a2750: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -001a2760: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001a2770: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001a2780: 6d65 3a20 456e 7375 7265 2074 6674 702d  me: Ensure tftp-
│ │ │ -001a2790: 7365 7276 6572 2069 7320 7265 6d6f 7665  server is remove
│ │ │ -001a27a0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -001a27b0: 206e 616d 653a 2074 6674 702d 7365 7276   name: tftp-serv
│ │ │ -001a27c0: 6572 0a20 2020 2073 7461 7465 3a20 6162  er.    state: ab
│ │ │ -001a27d0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -001a27e0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001a27f0: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -001a2800: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -001a2810: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001a2820: 3728 6229 0a20 202d 2050 4349 2d44 5353  7(b).  - PCI-DSS
│ │ │ -001a2830: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -001a2840: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -001a2850: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -001a2860: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -001a2870: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -001a2880: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -001a2890: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -001a28a0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001a28b0: 2070 6163 6b61 6765 5f74 6674 702d 7365   package_tftp-se
│ │ │ -001a28c0: 7276 6572 5f72 656d 6f76 6564 0a3c 2f63  rver_removed.</c
│ │ │ -001a28d0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -001a28e0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -001a28f0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -001a2900: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -001a2910: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -001a2920: 6964 6d32 3135 3936 2220 7461 6269 6e64  idm21596" tabind
│ │ │ -001a2930: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -001a2940: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -001a2950: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -001a2960: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -001a2970: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001a2980: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -001a2990: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -001a29a0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001a29b0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001a29c0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001a29d0: 3231 3539 3622 3e3c 7461 626c 6520 636c  21596"><table cl
│ │ │ -001a29e0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -001a29f0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -001a2a00: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -001a2a10: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -001a2a20: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -001a2a30: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001a2a40: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -001a2a50: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -001a2a60: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001a2a70: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -001a2a80: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -001a2a90: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -001a2aa0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -001a2ab0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001a2ac0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001a2ad0: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -001a2ae0: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -001a2af0: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -001a2b00: 7466 7470 2d73 6572 7665 720a 2309 2020  tftp-server.#.  
│ │ │ -001a2b10: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -001a2b20: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -001a2b30: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -001a2b40: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -001a2b50: 6e20 7466 7470 2d73 6572 7665 722e 2045  n tftp-server. E
│ │ │ -001a2b60: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -001a2b70: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -001a2b80: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -001a2b90: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -001a2ba0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -001a2bb0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -001a2bc0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -001a2bd0: 6765 7420 7265 6d6f 7665 202d 7920 2274  get remove -y "t
│ │ │ -001a2be0: 6674 702d 7365 7276 6572 220a 3c2f 636f  ftp-server".</co
│ │ │ +001a23b0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +001a23c0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +001a23d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001a23e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001a23f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001a2400: 2269 646d 3231 3539 3422 3e3c 7461 626c  "idm21594"><tabl
│ │ │ +001a2410: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001a2420: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001a2430: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001a2440: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001a2450: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001a2460: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001a2470: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001a2480: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001a2490: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001a24a0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001a24b0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001a24c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001a24d0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001a24e0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +001a24f0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001a2500: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +001a2510: 7265 2074 6674 702d 7365 7276 6572 2069  re tftp-server i
│ │ │ +001a2520: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +001a2530: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ +001a2540: 6674 702d 7365 7276 6572 0a20 2020 2073  ftp-server.    s
│ │ │ +001a2550: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ +001a2560: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +001a2570: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +001a2580: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +001a2590: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ +001a25a0: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ +001a25b0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +001a25c0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001a25d0: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +001a25e0: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ +001a25f0: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ +001a2600: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +001a2610: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +001a2620: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001a2630: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +001a2640: 5f74 6674 702d 7365 7276 6572 5f72 656d  _tftp-server_rem
│ │ │ +001a2650: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001a2660: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +001a2670: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +001a2680: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +001a2690: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +001a26a0: 6172 6765 743d 2223 6964 6d32 3135 3935  arget="#idm21595
│ │ │ +001a26b0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +001a26c0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +001a26d0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +001a26e0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +001a26f0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +001a2700: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001a2710: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +001a2720: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001a2730: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001a2740: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001a2750: 2069 643d 2269 646d 3231 3539 3522 3e3c   id="idm21595"><
│ │ │ +001a2760: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001a2770: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001a2780: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001a2790: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001a27a0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001a27b0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001a27c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001a27d0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001a27e0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001a27f0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001a2800: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001a2810: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001a2820: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001a2830: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001a2840: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001a2850: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +001a2860: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +001a2870: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +001a2880: 2072 656d 6f76 6520 7466 7470 2d73 6572   remove tftp-ser
│ │ │ +001a2890: 7665 720a 2309 2020 2066 726f 6d20 7468  ver.#.   from th
│ │ │ +001a28a0: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ +001a28b0: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ +001a28c0: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ +001a28d0: 6465 7065 6e64 206f 6e20 7466 7470 2d73  depend on tftp-s
│ │ │ +001a28e0: 6572 7665 722e 2045 7865 6375 7465 2074  erver. Execute t
│ │ │ +001a28f0: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ +001a2900: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ +001a2910: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ +001a2920: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ +001a2930: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ +001a2940: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +001a2950: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ +001a2960: 7665 202d 7920 2274 6674 702d 7365 7276  ve -y "tftp-serv
│ │ │ +001a2970: 6572 220a 3c2f 636f 6465 3e3c 2f70 7265  er".</code></pre
│ │ │ +001a2980: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +001a2990: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +001a29a0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +001a29b0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +001a29c0: 7267 6574 3d22 2369 646d 3231 3539 3622  rget="#idm21596"
│ │ │ +001a29d0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +001a29e0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +001a29f0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +001a2a00: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +001a2a10: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +001a2a20: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +001a2a30: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +001a2a40: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001a2a50: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001a2a60: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001a2a70: 2220 6964 3d22 6964 6d32 3135 3936 223e  " id="idm21596">
│ │ │ +001a2a80: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001a2a90: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001a2aa0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001a2ab0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001a2ac0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001a2ad0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001a2ae0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001a2af0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001a2b00: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001a2b10: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001a2b20: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001a2b30: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001a2b40: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001a2b50: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +001a2b60: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +001a2b70: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +001a2b80: 2072 656d 6f76 655f 7466 7470 2d73 6572   remove_tftp-ser
│ │ │ +001a2b90: 7665 720a 0a63 6c61 7373 2072 656d 6f76  ver..class remov
│ │ │ +001a2ba0: 655f 7466 7470 2d73 6572 7665 7220 7b0a  e_tftp-server {.
│ │ │ +001a2bb0: 2020 7061 636b 6167 6520 7b20 2774 6674    package { 'tft
│ │ │ +001a2bc0: 702d 7365 7276 6572 273a 0a20 2020 2065  p-server':.    e
│ │ │ +001a2bd0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +001a2be0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  001a2bf0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  001a2c00: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  001a2c10: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  001a2c20: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  001a2c30: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  001a2c40: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  001a2c50: 6e74 656e 745f 7275 6c65 5f70 6163 6b61  ntent_rule_packa
│ │ │ @@ -107360,138 +107360,138 @@
│ │ │  001a35f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001a3600: 646d 3231 3631 3222 2074 6162 696e 6465  dm21612" tabinde
│ │ │  001a3610: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001a3620: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001a3630: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001a3640: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001a3650: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001a3660: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -001a3670: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -001a3680: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001a3690: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001a36a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001a36b0: 6d32 3136 3132 223e 3c74 6162 6c65 2063  m21612"><table c
│ │ │ -001a36c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001a36d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001a36e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001a36f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001a3700: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001a3710: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001a3720: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001a3730: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001a3740: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001a3750: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001a3760: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001a3770: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001a3780: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001a3790: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001a37a0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001a37b0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -001a37c0: 7466 7470 0a0a 636c 6173 7320 7265 6d6f  tftp..class remo
│ │ │ -001a37d0: 7665 5f74 6674 7020 7b0a 2020 7061 636b  ve_tftp {.  pack
│ │ │ -001a37e0: 6167 6520 7b20 2774 6674 7027 3a0a 2020  age { 'tftp':.  
│ │ │ -001a37f0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -001a3800: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -001a3810: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -001a3820: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -001a3830: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -001a3840: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -001a3850: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -001a3860: 2223 6964 6d32 3136 3133 2220 7461 6269  "#idm21613" tabi
│ │ │ -001a3870: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -001a3880: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -001a3890: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -001a38a0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -001a38b0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -001a38c0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -001a38d0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -001a38e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001a38f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001a3900: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001a3910: 3d22 6964 6d32 3136 3133 223e 3c74 6162  ="idm21613"><tab
│ │ │ -001a3920: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001a3930: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001a3940: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001a3950: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001a3960: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001a3970: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001a3980: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001a3990: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001a39a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001a39b0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001a39c0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001a39d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001a39e0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001a39f0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001a3a00: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001a3a10: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -001a3a20: 7572 6520 7466 7470 2069 7320 7265 6d6f  ure tftp is remo
│ │ │ -001a3a30: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -001a3a40: 2020 206e 616d 653a 2074 6674 700a 2020     name: tftp.  
│ │ │ -001a3a50: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -001a3a60: 2020 7461 6773 3a0a 2020 2d20 5043 492d    tags:.  - PCI-
│ │ │ -001a3a70: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ -001a3a80: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ -001a3a90: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -001a3aa0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -001a3ab0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -001a3ac0: 7372 7570 7469 6f6e 0a20 202d 206c 6f77  sruption.  - low
│ │ │ -001a3ad0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -001a3ae0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -001a3af0: 202d 2070 6163 6b61 6765 5f74 6674 705f   - package_tftp_
│ │ │ -001a3b00: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -001a3b10: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -001a3b20: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -001a3b30: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -001a3b40: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -001a3b50: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ -001a3b60: 3631 3422 2074 6162 696e 6465 783d 2230  614" tabindex="0
│ │ │ -001a3b70: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -001a3b80: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -001a3b90: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -001a3ba0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -001a3bb0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001a3bc0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -001a3bd0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -001a3be0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001a3bf0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001a3c00: 7365 2220 6964 3d22 6964 6d32 3136 3134  se" id="idm21614
│ │ │ -001a3c10: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001a3c20: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001a3c30: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001a3c40: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001a3c50: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001a3c60: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001a3c70: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001a3c80: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001a3c90: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001a3ca0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001a3cb0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001a3cc0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001a3cd0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001a3ce0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -001a3cf0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -001a3d00: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -001a3d10: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -001a3d20: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -001a3d30: 696c 6c20 7265 6d6f 7665 2074 6674 700a  ill remove tftp.
│ │ │ -001a3d40: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ -001a3d50: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ -001a3d60: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ -001a3d70: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ -001a3d80: 6e64 206f 6e20 7466 7470 2e20 4578 6563  nd on tftp. Exec
│ │ │ -001a3d90: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -001a3da0: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -001a3db0: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -001a3dc0: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -001a3dd0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -001a3de0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -001a3df0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -001a3e00: 2072 656d 6f76 6520 2d79 2022 7466 7470   remove -y "tftp
│ │ │ -001a3e10: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +001a3660: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +001a3670: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +001a3680: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001a3690: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001a36a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001a36b0: 646d 3231 3631 3222 3e3c 7461 626c 6520  dm21612"><table 
│ │ │ +001a36c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001a36d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001a36e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001a36f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001a3700: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001a3710: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001a3720: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001a3730: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001a3740: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001a3750: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001a3760: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001a3770: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001a3780: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001a3790: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001a37a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001a37b0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +001a37c0: 2074 6674 7020 6973 2072 656d 6f76 6564   tftp is removed
│ │ │ +001a37d0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +001a37e0: 6e61 6d65 3a20 7466 7470 0a20 2020 2073  name: tftp.    s
│ │ │ +001a37f0: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ +001a3800: 6167 733a 0a20 202d 2050 4349 2d44 5353  ags:.  - PCI-DSS
│ │ │ +001a3810: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ +001a3820: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ +001a3830: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +001a3840: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +001a3850: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +001a3860: 7074 696f 6e0a 2020 2d20 6c6f 775f 7365  ption.  - low_se
│ │ │ +001a3870: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +001a3880: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +001a3890: 7061 636b 6167 655f 7466 7470 5f72 656d  package_tftp_rem
│ │ │ +001a38a0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001a38b0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +001a38c0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +001a38d0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +001a38e0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +001a38f0: 6172 6765 743d 2223 6964 6d32 3136 3133  arget="#idm21613
│ │ │ +001a3900: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +001a3910: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +001a3920: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +001a3930: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +001a3940: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +001a3950: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001a3960: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +001a3970: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001a3980: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001a3990: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001a39a0: 2069 643d 2269 646d 3231 3631 3322 3e3c   id="idm21613"><
│ │ │ +001a39b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001a39c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001a39d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001a39e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001a39f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001a3a00: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001a3a10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001a3a20: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001a3a30: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001a3a40: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001a3a50: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001a3a60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001a3a70: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001a3a80: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001a3a90: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001a3aa0: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +001a3ab0: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +001a3ac0: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +001a3ad0: 2072 656d 6f76 6520 7466 7470 0a23 0920   remove tftp.#. 
│ │ │ +001a3ae0: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ +001a3af0: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ +001a3b00: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ +001a3b10: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ +001a3b20: 6f6e 2074 6674 702e 2045 7865 6375 7465  on tftp. Execute
│ │ │ +001a3b30: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ +001a3b40: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ +001a3b50: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ +001a3b60: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ +001a3b70: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ +001a3b80: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +001a3b90: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ +001a3ba0: 6d6f 7665 202d 7920 2274 6674 7022 0a3c  move -y "tftp".<
│ │ │ +001a3bb0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001a3bc0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001a3bd0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001a3be0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001a3bf0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001a3c00: 2223 6964 6d32 3136 3134 2220 7461 6269  "#idm21614" tabi
│ │ │ +001a3c10: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001a3c20: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001a3c30: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001a3c40: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001a3c50: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001a3c60: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +001a3c70: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +001a3c80: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001a3c90: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001a3ca0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001a3cb0: 2269 646d 3231 3631 3422 3e3c 7461 626c  "idm21614"><tabl
│ │ │ +001a3cc0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001a3cd0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001a3ce0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001a3cf0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001a3d00: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001a3d10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001a3d20: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001a3d30: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001a3d40: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001a3d50: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001a3d60: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001a3d70: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001a3d80: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001a3d90: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +001a3da0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001a3db0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +001a3dc0: 7665 5f74 6674 700a 0a63 6c61 7373 2072  ve_tftp..class r
│ │ │ +001a3dd0: 656d 6f76 655f 7466 7470 207b 0a20 2070  emove_tftp {.  p
│ │ │ +001a3de0: 6163 6b61 6765 207b 2027 7466 7470 273a  ackage { 'tftp':
│ │ │ +001a3df0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +001a3e00: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +001a3e10: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  001a3e20: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  001a3e30: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  001a3e40: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  001a3e50: 7472 2064 6174 612d 7474 2d69 643d 2263  tr data-tt-id="c
│ │ │  001a3e60: 6869 6c64 7265 6e2d 7863 6364 665f 6f72  hildren-xccdf_or
│ │ │  001a3e70: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  001a3e80: 7465 6e74 5f67 726f 7570 5f73 7368 2220  tent_group_ssh" 
│ │ │ @@ -110812,216 +110812,216 @@
│ │ │  001b0db0: 612d 7461 7267 6574 3d22 2369 646d 3232  a-target="#idm22
│ │ │  001b0dc0: 3232 3322 2074 6162 696e 6465 783d 2230  223" tabindex="0
│ │ │  001b0dd0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  001b0de0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  001b0df0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  001b0e00: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  001b0e10: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001b0e20: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -001b0e30: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001b0e40: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001b0e50: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001b0e60: 6170 7365 2220 6964 3d22 6964 6d32 3232  apse" id="idm222
│ │ │ -001b0e70: 3233 223e 3c70 7265 3e3c 636f 6465 3e69  23"><pre><code>i
│ │ │ -001b0e80: 6e63 6c75 6465 2073 7368 5f70 7269 7661  nclude ssh_priva
│ │ │ -001b0e90: 7465 5f6b 6579 5f70 6572 6d73 0a0a 636c  te_key_perms..cl
│ │ │ -001b0ea0: 6173 7320 7373 685f 7072 6976 6174 655f  ass ssh_private_
│ │ │ -001b0eb0: 6b65 795f 7065 726d 7320 7b0a 2020 6578  key_perms {.  ex
│ │ │ -001b0ec0: 6563 207b 2027 7373 6864 5f70 7269 765f  ec { 'sshd_priv_
│ │ │ -001b0ed0: 6b65 7927 3a0a 2020 2020 636f 6d6d 616e  key':.    comman
│ │ │ -001b0ee0: 6420 3d26 6774 3b20 2263 686d 6f64 2030  d =&gt; "chmod 0
│ │ │ -001b0ef0: 3634 3020 2f65 7463 2f73 7368 2f2a 5f6b  640 /etc/ssh/*_k
│ │ │ -001b0f00: 6579 222c 0a20 2020 2070 6174 6820 2020  ey",.    path   
│ │ │ -001b0f10: 203d 2667 743b 2027 2f62 696e 3a2f 7573   =&gt; '/bin:/us
│ │ │ -001b0f20: 722f 6269 6e27 0a20 207d 0a7d 0a3c 2f63  r/bin'.  }.}.</c
│ │ │ -001b0f30: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -001b0f40: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -001b0f50: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -001b0f60: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -001b0f70: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -001b0f80: 6964 6d32 3232 3234 2220 7461 6269 6e64  idm22224" tabind
│ │ │ -001b0f90: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -001b0fa0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -001b0fb0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -001b0fc0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -001b0fd0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001b0fe0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -001b0ff0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -001b1000: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -001b1010: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -001b1020: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -001b1030: 6964 6d32 3232 3234 223e 3c74 6162 6c65  idm22224"><table
│ │ │ -001b1040: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -001b1050: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -001b1060: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -001b1070: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -001b1080: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -001b1090: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001b10a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -001b10b0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -001b10c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001b10d0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -001b10e0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -001b10f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -001b1100: 6174 6567 793a 3c2f 7468 3e3c 7464 3e63  ategy:</th><td>c
│ │ │ -001b1110: 6f6e 6669 6775 7265 3c2f 7464 3e3c 2f74  onfigure</td></t
│ │ │ -001b1120: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001b1130: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -001b1140: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -001b1150: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -001b1160: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -001b1170: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -001b1180: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -001b1190: 312d 332e 312e 3133 0a20 202d 204e 4953  1-3.1.13.  - NIS
│ │ │ -001b11a0: 542d 3830 302d 3137 312d 332e 3133 2e31  T-800-171-3.13.1
│ │ │ -001b11b0: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -001b11c0: 332d 4143 2d31 3728 6129 0a20 202d 204e  3-AC-17(a).  - N
│ │ │ -001b11d0: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ -001b11e0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -001b11f0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -001b1200: 4349 2d44 5353 2d52 6571 2d32 2e32 2e34  CI-DSS-Req-2.2.4
│ │ │ -001b1210: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001b1220: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -001b1230: 2d32 2e32 2e36 0a20 202d 2063 6f6e 6669  -2.2.6.  - confi
│ │ │ -001b1240: 6775 7265 5f73 7472 6174 6567 790a 2020  gure_strategy.  
│ │ │ -001b1250: 2d20 6669 6c65 5f70 6572 6d69 7373 696f  - file_permissio
│ │ │ -001b1260: 6e73 5f73 7368 645f 7072 6976 6174 655f  ns_sshd_private_
│ │ │ -001b1270: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -001b1280: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001b1290: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -001b12a0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001b12b0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001b12c0: 6564 0a0a 2d20 6e61 6d65 3a20 4669 6e64  ed..- name: Find
│ │ │ -001b12d0: 2072 6f6f 743a 726f 6f74 2d6f 776e 6564   root:root-owned
│ │ │ -001b12e0: 206b 6579 730a 2020 616e 7369 626c 652e   keys.  ansible.
│ │ │ -001b12f0: 6275 696c 7469 6e2e 636f 6d6d 616e 643a  builtin.command:
│ │ │ -001b1300: 2066 696e 6420 2d48 202f 6574 632f 7373   find -H /etc/ss
│ │ │ -001b1310: 682f 202d 6d61 7864 6570 7468 2031 202d  h/ -maxdepth 1 -
│ │ │ -001b1320: 7573 6572 2072 6f6f 7420 2d72 6567 6578  user root -regex
│ │ │ -001b1330: 2022 2e2a 5f6b 6579 2422 0a20 2020 202d   ".*_key$".    -
│ │ │ -001b1340: 7479 7065 2066 202d 6772 6f75 7020 726f  type f -group ro
│ │ │ -001b1350: 6f74 202d 7065 726d 202f 752b 7873 2c67  ot -perm /u+xs,g
│ │ │ -001b1360: 2b78 7772 732c 6f2b 7877 7274 0a20 2072  +xwrs,o+xwrt.  r
│ │ │ -001b1370: 6567 6973 7465 723a 2072 6f6f 745f 6f77  egister: root_ow
│ │ │ -001b1380: 6e65 645f 6b65 7973 0a20 2063 6861 6e67  ned_keys.  chang
│ │ │ -001b1390: 6564 5f77 6865 6e3a 2066 616c 7365 0a20  ed_when: false. 
│ │ │ -001b13a0: 2066 6169 6c65 645f 7768 656e 3a20 6661   failed_when: fa
│ │ │ -001b13b0: 6c73 650a 2020 6368 6563 6b5f 6d6f 6465  lse.  check_mode
│ │ │ -001b13c0: 3a20 6661 6c73 650a 2020 7768 656e 3a20  : false.  when: 
│ │ │ -001b13d0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -001b13e0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -001b13f0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -001b1400: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -001b1410: 312d 332e 312e 3133 0a20 202d 204e 4953  1-3.1.13.  - NIS
│ │ │ -001b1420: 542d 3830 302d 3137 312d 332e 3133 2e31  T-800-171-3.13.1
│ │ │ -001b1430: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -001b1440: 332d 4143 2d31 3728 6129 0a20 202d 204e  3-AC-17(a).  - N
│ │ │ -001b1450: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ -001b1460: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -001b1470: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -001b1480: 4349 2d44 5353 2d52 6571 2d32 2e32 2e34  CI-DSS-Req-2.2.4
│ │ │ -001b1490: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001b14a0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -001b14b0: 2d32 2e32 2e36 0a20 202d 2063 6f6e 6669  -2.2.6.  - confi
│ │ │ -001b14c0: 6775 7265 5f73 7472 6174 6567 790a 2020  gure_strategy.  
│ │ │ -001b14d0: 2d20 6669 6c65 5f70 6572 6d69 7373 696f  - file_permissio
│ │ │ -001b14e0: 6e73 5f73 7368 645f 7072 6976 6174 655f  ns_sshd_private_
│ │ │ -001b14f0: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -001b1500: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001b1510: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -001b1520: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001b1530: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001b1540: 6564 0a0a 2d20 6e61 6d65 3a20 5365 7420  ed..- name: Set 
│ │ │ -001b1550: 7065 726d 6973 7369 6f6e 7320 666f 7220  permissions for 
│ │ │ -001b1560: 726f 6f74 3a72 6f6f 742d 6f77 6e65 6420  root:root-owned 
│ │ │ -001b1570: 6b65 7973 0a20 2061 6e73 6962 6c65 2e62  keys.  ansible.b
│ │ │ -001b1580: 7569 6c74 696e 2e66 696c 653a 0a20 2020  uiltin.file:.   
│ │ │ -001b1590: 2070 6174 683a 2027 7b7b 2069 7465 6d20   path: '{{ item 
│ │ │ -001b15a0: 7d7d 270a 2020 2020 6d6f 6465 3a20 752d  }}'.    mode: u-
│ │ │ -001b15b0: 7873 2c67 2d78 7772 732c 6f2d 7877 7274  xs,g-xwrs,o-xwrt
│ │ │ -001b15c0: 0a20 2020 2073 7461 7465 3a20 6669 6c65  .    state: file
│ │ │ -001b15d0: 0a20 2077 6974 685f 6974 656d 733a 0a20  .  with_items:. 
│ │ │ -001b15e0: 202d 2027 7b7b 2072 6f6f 745f 6f77 6e65   - '{{ root_owne
│ │ │ -001b15f0: 645f 6b65 7973 2e73 7464 6f75 745f 6c69  d_keys.stdout_li
│ │ │ -001b1600: 6e65 7320 7d7d 270a 2020 7768 656e 3a20  nes }}'.  when: 
│ │ │ -001b1610: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -001b1620: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -001b1630: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -001b1640: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -001b1650: 312d 332e 312e 3133 0a20 202d 204e 4953  1-3.1.13.  - NIS
│ │ │ -001b1660: 542d 3830 302d 3137 312d 332e 3133 2e31  T-800-171-3.13.1
│ │ │ -001b1670: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -001b1680: 332d 4143 2d31 3728 6129 0a20 202d 204e  3-AC-17(a).  - N
│ │ │ -001b1690: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ -001b16a0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -001b16b0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -001b16c0: 4349 2d44 5353 2d52 6571 2d32 2e32 2e34  CI-DSS-Req-2.2.4
│ │ │ -001b16d0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001b16e0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -001b16f0: 2d32 2e32 2e36 0a20 202d 2063 6f6e 6669  -2.2.6.  - confi
│ │ │ -001b1700: 6775 7265 5f73 7472 6174 6567 790a 2020  gure_strategy.  
│ │ │ -001b1710: 2d20 6669 6c65 5f70 6572 6d69 7373 696f  - file_permissio
│ │ │ -001b1720: 6e73 5f73 7368 645f 7072 6976 6174 655f  ns_sshd_private_
│ │ │ -001b1730: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -001b1740: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001b1750: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -001b1760: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001b1770: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001b1780: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -001b1790: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -001b17a0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -001b17b0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -001b17c0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -001b17d0: 6765 743d 2223 6964 6d32 3232 3235 2220  get="#idm22225" 
│ │ │ -001b17e0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -001b17f0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -001b1800: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -001b1810: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -001b1820: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -001b1830: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001b1840: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -001b1850: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001b1860: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001b1870: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001b1880: 643d 2269 646d 3232 3232 3522 3e3c 7072  d="idm22225"><pr
│ │ │ -001b1890: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ -001b18a0: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ -001b18b0: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ -001b18c0: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ -001b18d0: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ -001b18e0: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ -001b18f0: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ -001b1900: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ -001b1910: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ -001b1920: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ -001b1930: 7374 616c 6c65 643b 2074 6865 6e0a 0a66  stalled; then..f
│ │ │ -001b1940: 6f72 206b 6579 6669 6c65 2069 6e20 2f65  or keyfile in /e
│ │ │ -001b1950: 7463 2f73 7368 2f2a 5f6b 6579 3b20 646f  tc/ssh/*_key; do
│ │ │ -001b1960: 0a20 2020 2074 6573 7420 2d66 2022 246b  .    test -f "$k
│ │ │ -001b1970: 6579 6669 6c65 2220 7c7c 2063 6f6e 7469  eyfile" || conti
│ │ │ -001b1980: 6e75 650a 2020 2020 6966 2074 6573 7420  nue.    if test 
│ │ │ -001b1990: 726f 6f74 3a72 6f6f 7420 3d20 2224 2873  root:root = "$(s
│ │ │ -001b19a0: 7461 7420 2d63 2022 2555 3a25 4722 2022  tat -c "%U:%G" "
│ │ │ -001b19b0: 246b 6579 6669 6c65 2229 223b 2074 6865  $keyfile")"; the
│ │ │ -001b19c0: 6e0a 2020 2020 0a09 6368 6d6f 6420 752d  n.    ..chmod u-
│ │ │ -001b19d0: 7873 2c67 2d78 7772 732c 6f2d 7877 7274  xs,g-xwrs,o-xwrt
│ │ │ -001b19e0: 2022 246b 6579 6669 6c65 220a 2020 2020   "$keyfile".    
│ │ │ -001b19f0: 0a20 2020 200a 2020 2020 656c 7365 0a20  .    .    else. 
│ │ │ -001b1a00: 2020 2020 2020 2065 6368 6f20 224b 6579         echo "Key
│ │ │ -001b1a10: 2d6c 696b 6520 6669 6c65 2027 246b 6579  -like file '$key
│ │ │ -001b1a20: 6669 6c65 2720 6973 206f 776e 6564 2062  file' is owned b
│ │ │ -001b1a30: 7920 616e 2075 6e65 7870 6563 7465 6420  y an unexpected 
│ │ │ -001b1a40: 7573 6572 3a67 726f 7570 2063 6f6d 6269  user:group combi
│ │ │ -001b1a50: 6e61 7469 6f6e 220a 2020 2020 6669 0a64  nation".    fi.d
│ │ │ -001b1a60: 6f6e 650a 0a65 6c73 650a 2020 2020 2667  one..else.    &g
│ │ │ -001b1a70: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ -001b1a80: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ -001b1a90: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ -001b1aa0: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ -001b1ab0: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +001b0e20: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +001b0e30: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001b0e40: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001b0e50: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001b0e60: 6c61 7073 6522 2069 643d 2269 646d 3232  lapse" id="idm22
│ │ │ +001b0e70: 3232 3322 3e3c 7461 626c 6520 636c 6173  223"><table clas
│ │ │ +001b0e80: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001b0e90: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001b0ea0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001b0eb0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001b0ec0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001b0ed0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001b0ee0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001b0ef0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001b0f00: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001b0f10: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001b0f20: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001b0f30: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001b0f40: 3a3c 2f74 683e 3c74 643e 636f 6e66 6967  :</th><td>config
│ │ │ +001b0f50: 7572 653c 2f74 643e 3c2f 7472 3e3c 2f74  ure</td></tr></t
│ │ │ +001b0f60: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001b0f70: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +001b0f80: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +001b0f90: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +001b0fa0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +001b0fb0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +001b0fc0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31  NIST-800-171-3.1
│ │ │ +001b0fd0: 2e31 330a 2020 2d20 4e49 5354 2d38 3030  .13.  - NIST-800
│ │ │ +001b0fe0: 2d31 3731 2d33 2e31 332e 3130 0a20 202d  -171-3.13.10.  -
│ │ │ +001b0ff0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +001b1000: 3137 2861 290a 2020 2d20 4e49 5354 2d38  17(a).  - NIST-8
│ │ │ +001b1010: 3030 2d35 332d 4143 2d36 2831 290a 2020  00-53-AC-6(1).  
│ │ │ +001b1020: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +001b1030: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +001b1040: 532d 5265 712d 322e 322e 340a 2020 2d20  S-Req-2.2.4.  - 
│ │ │ +001b1050: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001b1060: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001b1070: 360a 2020 2d20 636f 6e66 6967 7572 655f  6.  - configure_
│ │ │ +001b1080: 7374 7261 7465 6779 0a20 202d 2066 696c  strategy.  - fil
│ │ │ +001b1090: 655f 7065 726d 6973 7369 6f6e 735f 7373  e_permissions_ss
│ │ │ +001b10a0: 6864 5f70 7269 7661 7465 5f6b 6579 0a20  hd_private_key. 
│ │ │ +001b10b0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001b10c0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001b10d0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +001b10e0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001b10f0: 7265 626f 6f74 5f6e 6565 6465 640a 0a2d  reboot_needed..-
│ │ │ +001b1100: 206e 616d 653a 2046 696e 6420 726f 6f74   name: Find root
│ │ │ +001b1110: 3a72 6f6f 742d 6f77 6e65 6420 6b65 7973  :root-owned keys
│ │ │ +001b1120: 0a20 2061 6e73 6962 6c65 2e62 7569 6c74  .  ansible.built
│ │ │ +001b1130: 696e 2e63 6f6d 6d61 6e64 3a20 6669 6e64  in.command: find
│ │ │ +001b1140: 202d 4820 2f65 7463 2f73 7368 2f20 2d6d   -H /etc/ssh/ -m
│ │ │ +001b1150: 6178 6465 7074 6820 3120 2d75 7365 7220  axdepth 1 -user 
│ │ │ +001b1160: 726f 6f74 202d 7265 6765 7820 222e 2a5f  root -regex ".*_
│ │ │ +001b1170: 6b65 7924 220a 2020 2020 2d74 7970 6520  key$".    -type 
│ │ │ +001b1180: 6620 2d67 726f 7570 2072 6f6f 7420 2d70  f -group root -p
│ │ │ +001b1190: 6572 6d20 2f75 2b78 732c 672b 7877 7273  erm /u+xs,g+xwrs
│ │ │ +001b11a0: 2c6f 2b78 7772 740a 2020 7265 6769 7374  ,o+xwrt.  regist
│ │ │ +001b11b0: 6572 3a20 726f 6f74 5f6f 776e 6564 5f6b  er: root_owned_k
│ │ │ +001b11c0: 6579 730a 2020 6368 616e 6765 645f 7768  eys.  changed_wh
│ │ │ +001b11d0: 656e 3a20 6661 6c73 650a 2020 6661 696c  en: false.  fail
│ │ │ +001b11e0: 6564 5f77 6865 6e3a 2066 616c 7365 0a20  ed_when: false. 
│ │ │ +001b11f0: 2063 6865 636b 5f6d 6f64 653a 2066 616c   check_mode: fal
│ │ │ +001b1200: 7365 0a20 2077 6865 6e3a 2027 226c 696e  se.  when: '"lin
│ │ │ +001b1210: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +001b1220: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +001b1230: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +001b1240: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31  NIST-800-171-3.1
│ │ │ +001b1250: 2e31 330a 2020 2d20 4e49 5354 2d38 3030  .13.  - NIST-800
│ │ │ +001b1260: 2d31 3731 2d33 2e31 332e 3130 0a20 202d  -171-3.13.10.  -
│ │ │ +001b1270: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +001b1280: 3137 2861 290a 2020 2d20 4e49 5354 2d38  17(a).  - NIST-8
│ │ │ +001b1290: 3030 2d35 332d 4143 2d36 2831 290a 2020  00-53-AC-6(1).  
│ │ │ +001b12a0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +001b12b0: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +001b12c0: 532d 5265 712d 322e 322e 340a 2020 2d20  S-Req-2.2.4.  - 
│ │ │ +001b12d0: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001b12e0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001b12f0: 360a 2020 2d20 636f 6e66 6967 7572 655f  6.  - configure_
│ │ │ +001b1300: 7374 7261 7465 6779 0a20 202d 2066 696c  strategy.  - fil
│ │ │ +001b1310: 655f 7065 726d 6973 7369 6f6e 735f 7373  e_permissions_ss
│ │ │ +001b1320: 6864 5f70 7269 7661 7465 5f6b 6579 0a20  hd_private_key. 
│ │ │ +001b1330: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001b1340: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001b1350: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +001b1360: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001b1370: 7265 626f 6f74 5f6e 6565 6465 640a 0a2d  reboot_needed..-
│ │ │ +001b1380: 206e 616d 653a 2053 6574 2070 6572 6d69   name: Set permi
│ │ │ +001b1390: 7373 696f 6e73 2066 6f72 2072 6f6f 743a  ssions for root:
│ │ │ +001b13a0: 726f 6f74 2d6f 776e 6564 206b 6579 730a  root-owned keys.
│ │ │ +001b13b0: 2020 616e 7369 626c 652e 6275 696c 7469    ansible.builti
│ │ │ +001b13c0: 6e2e 6669 6c65 3a0a 2020 2020 7061 7468  n.file:.    path
│ │ │ +001b13d0: 3a20 277b 7b20 6974 656d 207d 7d27 0a20  : '{{ item }}'. 
│ │ │ +001b13e0: 2020 206d 6f64 653a 2075 2d78 732c 672d     mode: u-xs,g-
│ │ │ +001b13f0: 7877 7273 2c6f 2d78 7772 740a 2020 2020  xwrs,o-xwrt.    
│ │ │ +001b1400: 7374 6174 653a 2066 696c 650a 2020 7769  state: file.  wi
│ │ │ +001b1410: 7468 5f69 7465 6d73 3a0a 2020 2d20 277b  th_items:.  - '{
│ │ │ +001b1420: 7b20 726f 6f74 5f6f 776e 6564 5f6b 6579  { root_owned_key
│ │ │ +001b1430: 732e 7374 646f 7574 5f6c 696e 6573 207d  s.stdout_lines }
│ │ │ +001b1440: 7d27 0a20 2077 6865 6e3a 2027 226c 696e  }'.  when: '"lin
│ │ │ +001b1450: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +001b1460: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +001b1470: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +001b1480: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31  NIST-800-171-3.1
│ │ │ +001b1490: 2e31 330a 2020 2d20 4e49 5354 2d38 3030  .13.  - NIST-800
│ │ │ +001b14a0: 2d31 3731 2d33 2e31 332e 3130 0a20 202d  -171-3.13.10.  -
│ │ │ +001b14b0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +001b14c0: 3137 2861 290a 2020 2d20 4e49 5354 2d38  17(a).  - NIST-8
│ │ │ +001b14d0: 3030 2d35 332d 4143 2d36 2831 290a 2020  00-53-AC-6(1).  
│ │ │ +001b14e0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +001b14f0: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +001b1500: 532d 5265 712d 322e 322e 340a 2020 2d20  S-Req-2.2.4.  - 
│ │ │ +001b1510: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001b1520: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001b1530: 360a 2020 2d20 636f 6e66 6967 7572 655f  6.  - configure_
│ │ │ +001b1540: 7374 7261 7465 6779 0a20 202d 2066 696c  strategy.  - fil
│ │ │ +001b1550: 655f 7065 726d 6973 7369 6f6e 735f 7373  e_permissions_ss
│ │ │ +001b1560: 6864 5f70 7269 7661 7465 5f6b 6579 0a20  hd_private_key. 
│ │ │ +001b1570: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001b1580: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001b1590: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +001b15a0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001b15b0: 7265 626f 6f74 5f6e 6565 6465 640a 3c2f  reboot_needed.</
│ │ │ +001b15c0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +001b15d0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +001b15e0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +001b15f0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +001b1600: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +001b1610: 2369 646d 3232 3232 3422 2074 6162 696e  #idm22224" tabin
│ │ │ +001b1620: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +001b1630: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +001b1640: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +001b1650: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +001b1660: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +001b1670: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +001b1680: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +001b1690: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001b16a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001b16b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001b16c0: 6d32 3232 3234 223e 3c70 7265 3e3c 636f  m22224"><pre><co
│ │ │ +001b16d0: 6465 3e23 2052 656d 6564 6961 7469 6f6e  de># Remediation
│ │ │ +001b16e0: 2069 7320 6170 706c 6963 6162 6c65 206f   is applicable o
│ │ │ +001b16f0: 6e6c 7920 696e 2063 6572 7461 696e 2070  nly in certain p
│ │ │ +001b1700: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67  latforms.if dpkg
│ │ │ +001b1710: 2d71 7565 7279 202d 2d73 686f 7720 2d2d  -query --show --
│ │ │ +001b1720: 7368 6f77 666f 726d 6174 3d27 247b 6462  showformat='${db
│ │ │ +001b1730: 3a53 7461 7475 732d 5374 6174 7573 7d0a  :Status-Status}.
│ │ │ +001b1740: 2720 276c 696e 7578 2d62 6173 6527 2032  ' 'linux-base' 2
│ │ │ +001b1750: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20  &gt;/dev/null | 
│ │ │ +001b1760: 6772 6570 202d 7120 5e69 6e73 7461 6c6c  grep -q ^install
│ │ │ +001b1770: 6564 3b20 7468 656e 0a0a 666f 7220 6b65  ed; then..for ke
│ │ │ +001b1780: 7966 696c 6520 696e 202f 6574 632f 7373  yfile in /etc/ss
│ │ │ +001b1790: 682f 2a5f 6b65 793b 2064 6f0a 2020 2020  h/*_key; do.    
│ │ │ +001b17a0: 7465 7374 202d 6620 2224 6b65 7966 696c  test -f "$keyfil
│ │ │ +001b17b0: 6522 207c 7c20 636f 6e74 696e 7565 0a20  e" || continue. 
│ │ │ +001b17c0: 2020 2069 6620 7465 7374 2072 6f6f 743a     if test root:
│ │ │ +001b17d0: 726f 6f74 203d 2022 2428 7374 6174 202d  root = "$(stat -
│ │ │ +001b17e0: 6320 2225 553a 2547 2220 2224 6b65 7966  c "%U:%G" "$keyf
│ │ │ +001b17f0: 696c 6522 2922 3b20 7468 656e 0a20 2020  ile")"; then.   
│ │ │ +001b1800: 200a 0963 686d 6f64 2075 2d78 732c 672d   ..chmod u-xs,g-
│ │ │ +001b1810: 7877 7273 2c6f 2d78 7772 7420 2224 6b65  xwrs,o-xwrt "$ke
│ │ │ +001b1820: 7966 696c 6522 0a20 2020 200a 2020 2020  yfile".    .    
│ │ │ +001b1830: 0a20 2020 2065 6c73 650a 2020 2020 2020  .    else.      
│ │ │ +001b1840: 2020 6563 686f 2022 4b65 792d 6c69 6b65    echo "Key-like
│ │ │ +001b1850: 2066 696c 6520 2724 6b65 7966 696c 6527   file '$keyfile'
│ │ │ +001b1860: 2069 7320 6f77 6e65 6420 6279 2061 6e20   is owned by an 
│ │ │ +001b1870: 756e 6578 7065 6374 6564 2075 7365 723a  unexpected user:
│ │ │ +001b1880: 6772 6f75 7020 636f 6d62 696e 6174 696f  group combinatio
│ │ │ +001b1890: 6e22 0a20 2020 2066 690a 646f 6e65 0a0a  n".    fi.done..
│ │ │ +001b18a0: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ +001b18b0: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ +001b18c0: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ +001b18d0: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ +001b18e0: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +001b18f0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +001b1900: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +001b1910: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +001b1920: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +001b1930: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +001b1940: 2369 646d 3232 3232 3522 2074 6162 696e  #idm22225" tabin
│ │ │ +001b1950: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +001b1960: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +001b1970: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +001b1980: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +001b1990: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +001b19a0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +001b19b0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +001b19c0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +001b19d0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +001b19e0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +001b19f0: 6964 6d32 3232 3235 223e 3c70 7265 3e3c  idm22225"><pre><
│ │ │ +001b1a00: 636f 6465 3e69 6e63 6c75 6465 2073 7368  code>include ssh
│ │ │ +001b1a10: 5f70 7269 7661 7465 5f6b 6579 5f70 6572  _private_key_per
│ │ │ +001b1a20: 6d73 0a0a 636c 6173 7320 7373 685f 7072  ms..class ssh_pr
│ │ │ +001b1a30: 6976 6174 655f 6b65 795f 7065 726d 7320  ivate_key_perms 
│ │ │ +001b1a40: 7b0a 2020 6578 6563 207b 2027 7373 6864  {.  exec { 'sshd
│ │ │ +001b1a50: 5f70 7269 765f 6b65 7927 3a0a 2020 2020  _priv_key':.    
│ │ │ +001b1a60: 636f 6d6d 616e 6420 3d26 6774 3b20 2263  command =&gt; "c
│ │ │ +001b1a70: 686d 6f64 2030 3634 3020 2f65 7463 2f73  hmod 0640 /etc/s
│ │ │ +001b1a80: 7368 2f2a 5f6b 6579 222c 0a20 2020 2070  sh/*_key",.    p
│ │ │ +001b1a90: 6174 6820 2020 203d 2667 743b 2027 2f62  ath    =&gt; '/b
│ │ │ +001b1aa0: 696e 3a2f 7573 722f 6269 6e27 0a20 207d  in:/usr/bin'.  }
│ │ │ +001b1ab0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  001b1ac0: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  001b1ad0: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  001b1ae0: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  001b1af0: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  001b1b00: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  001b1b10: 6a65 6374 2e63 6f6e 7465 6e74 5f72 756c  ject.content_rul
│ │ │  001b1b20: 655f 6669 6c65 5f70 6572 6d69 7373 696f  e_file_permissio
│ │ │ @@ -111289,218 +111289,218 @@
│ │ │  001b2b80: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  001b2b90: 3232 3937 2220 7461 6269 6e64 6578 3d22  2297" tabindex="
│ │ │  001b2ba0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  001b2bb0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  001b2bc0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  001b2bd0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  001b2be0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -001b2bf0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -001b2c00: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -001b2c10: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -001b2c20: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -001b2c30: 6c61 7073 6522 2069 643d 2269 646d 3232  lapse" id="idm22
│ │ │ -001b2c40: 3239 3722 3e3c 7072 653e 3c63 6f64 653e  297"><pre><code>
│ │ │ -001b2c50: 696e 636c 7564 6520 7373 685f 7075 626c  include ssh_publ
│ │ │ -001b2c60: 6963 5f6b 6579 5f70 6572 6d73 0a0a 636c  ic_key_perms..cl
│ │ │ -001b2c70: 6173 7320 7373 685f 7075 626c 6963 5f6b  ass ssh_public_k
│ │ │ -001b2c80: 6579 5f70 6572 6d73 207b 0a20 2065 7865  ey_perms {.  exe
│ │ │ -001b2c90: 6320 7b20 2773 7368 645f 7075 625f 6b65  c { 'sshd_pub_ke
│ │ │ -001b2ca0: 7927 3a0a 2020 2020 636f 6d6d 616e 6420  y':.    command 
│ │ │ -001b2cb0: 3d26 6774 3b20 2263 686d 6f64 2030 3634  =&gt; "chmod 064
│ │ │ -001b2cc0: 3420 2f65 7463 2f73 7368 2f2a 2e70 7562  4 /etc/ssh/*.pub
│ │ │ -001b2cd0: 222c 0a20 2020 2070 6174 6820 2020 203d  ",.    path    =
│ │ │ -001b2ce0: 2667 743b 2027 2f62 696e 3a2f 7573 722f  &gt; '/bin:/usr/
│ │ │ -001b2cf0: 6269 6e27 0a20 207d 0a7d 0a3c 2f63 6f64  bin'.  }.}.</cod
│ │ │ -001b2d00: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -001b2d10: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -001b2d20: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -001b2d30: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -001b2d40: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -001b2d50: 6d32 3232 3938 2220 7461 6269 6e64 6578  m22298" tabindex
│ │ │ -001b2d60: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -001b2d70: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -001b2d80: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -001b2d90: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -001b2da0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001b2db0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -001b2dc0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -001b2dd0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001b2de0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001b2df0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001b2e00: 6d32 3232 3938 223e 3c74 6162 6c65 2063  m22298"><table c
│ │ │ -001b2e10: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001b2e20: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001b2e30: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001b2e40: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001b2e50: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001b2e60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001b2e70: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001b2e80: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001b2e90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001b2ea0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001b2eb0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001b2ec0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001b2ed0: 6567 793a 3c2f 7468 3e3c 7464 3e63 6f6e  egy:</th><td>con
│ │ │ -001b2ee0: 6669 6775 7265 3c2f 7464 3e3c 2f74 723e  figure</td></tr>
│ │ │ -001b2ef0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -001b2f00: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -001b2f10: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -001b2f20: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -001b2f30: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -001b2f40: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -001b2f50: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -001b2f60: 332e 312e 3133 0a20 202d 204e 4953 542d  3.1.13.  - NIST-
│ │ │ -001b2f70: 3830 302d 3137 312d 332e 3133 2e31 300a  800-171-3.13.10.
│ │ │ -001b2f80: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -001b2f90: 4143 2d31 3728 6129 0a20 202d 204e 4953  AC-17(a).  - NIS
│ │ │ -001b2fa0: 542d 3830 302d 3533 2d41 432d 3628 3129  T-800-53-AC-6(1)
│ │ │ -001b2fb0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -001b2fc0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -001b2fd0: 2d44 5353 2d52 6571 2d32 2e32 2e34 0a20  -DSS-Req-2.2.4. 
│ │ │ -001b2fe0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001b2ff0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001b3000: 2e32 2e36 0a20 202d 2063 6f6e 6669 6775  .2.6.  - configu
│ │ │ -001b3010: 7265 5f73 7472 6174 6567 790a 2020 2d20  re_strategy.  - 
│ │ │ -001b3020: 6669 6c65 5f70 6572 6d69 7373 696f 6e73  file_permissions
│ │ │ -001b3030: 5f73 7368 645f 7075 625f 6b65 790a 2020  _sshd_pub_key.  
│ │ │ -001b3040: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001b3050: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001b3060: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001b3070: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001b3080: 6562 6f6f 745f 6e65 6564 6564 0a0a 2d20  eboot_needed..- 
│ │ │ -001b3090: 6e61 6d65 3a20 4669 6e64 202f 6574 632f  name: Find /etc/
│ │ │ -001b30a0: 7373 682f 2066 696c 6528 7329 0a20 2063  ssh/ file(s).  c
│ │ │ -001b30b0: 6f6d 6d61 6e64 3a20 6669 6e64 202d 4820  ommand: find -H 
│ │ │ -001b30c0: 2f65 7463 2f73 7368 2f20 2d6d 6178 6465  /etc/ssh/ -maxde
│ │ │ -001b30d0: 7074 6820 3120 2d70 6572 6d20 2f75 2b78  pth 1 -perm /u+x
│ │ │ -001b30e0: 732c 672b 7877 732c 6f2b 7877 7420 202d  s,g+xws,o+xwt  -
│ │ │ -001b30f0: 7479 7065 2066 202d 7265 6765 7874 7970  type f -regextyp
│ │ │ -001b3100: 650a 2020 2020 706f 7369 782d 6578 7465  e.    posix-exte
│ │ │ -001b3110: 6e64 6564 202d 7265 6765 7820 225e 2e2a  nded -regex "^.*
│ │ │ -001b3120: 5c2e 7075 6224 220a 2020 7265 6769 7374  \.pub$".  regist
│ │ │ -001b3130: 6572 3a20 6669 6c65 735f 666f 756e 640a  er: files_found.
│ │ │ -001b3140: 2020 6368 616e 6765 645f 7768 656e 3a20    changed_when: 
│ │ │ -001b3150: 6661 6c73 650a 2020 6661 696c 6564 5f77  false.  failed_w
│ │ │ -001b3160: 6865 6e3a 2066 616c 7365 0a20 2063 6865  hen: false.  che
│ │ │ -001b3170: 636b 5f6d 6f64 653a 2066 616c 7365 0a20  ck_mode: false. 
│ │ │ -001b3180: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ -001b3190: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ -001b31a0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -001b31b0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -001b31c0: 2d38 3030 2d31 3731 2d33 2e31 2e31 330a  -800-171-3.1.13.
│ │ │ -001b31d0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -001b31e0: 2d33 2e31 332e 3130 0a20 202d 204e 4953  -3.13.10.  - NIS
│ │ │ -001b31f0: 542d 3830 302d 3533 2d41 432d 3137 2861  T-800-53-AC-17(a
│ │ │ -001b3200: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001b3210: 332d 4143 2d36 2831 290a 2020 2d20 4e49  3-AC-6(1).  - NI
│ │ │ -001b3220: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -001b3230: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -001b3240: 712d 322e 322e 340a 2020 2d20 5043 492d  q-2.2.4.  - PCI-
│ │ │ -001b3250: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ -001b3260: 492d 4453 5376 342d 322e 322e 360a 2020  I-DSSv4-2.2.6.  
│ │ │ -001b3270: 2d20 636f 6e66 6967 7572 655f 7374 7261  - configure_stra
│ │ │ -001b3280: 7465 6779 0a20 202d 2066 696c 655f 7065  tegy.  - file_pe
│ │ │ -001b3290: 726d 6973 7369 6f6e 735f 7373 6864 5f70  rmissions_sshd_p
│ │ │ -001b32a0: 7562 5f6b 6579 0a20 202d 206c 6f77 5f63  ub_key.  - low_c
│ │ │ -001b32b0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -001b32c0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -001b32d0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -001b32e0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -001b32f0: 6565 6465 640a 0a2d 206e 616d 653a 2053  eeded..- name: S
│ │ │ -001b3300: 6574 2070 6572 6d69 7373 696f 6e73 2066  et permissions f
│ │ │ -001b3310: 6f72 202f 6574 632f 7373 682f 2066 696c  or /etc/ssh/ fil
│ │ │ -001b3320: 6528 7329 0a20 2066 696c 653a 0a20 2020  e(s).  file:.   
│ │ │ -001b3330: 2070 6174 683a 2027 7b7b 2069 7465 6d20   path: '{{ item 
│ │ │ -001b3340: 7d7d 270a 2020 2020 6d6f 6465 3a20 752d  }}'.    mode: u-
│ │ │ -001b3350: 7873 2c67 2d78 7773 2c6f 2d78 7774 0a20  xs,g-xws,o-xwt. 
│ │ │ -001b3360: 2020 2073 7461 7465 3a20 6669 6c65 0a20     state: file. 
│ │ │ -001b3370: 2077 6974 685f 6974 656d 733a 0a20 202d   with_items:.  -
│ │ │ -001b3380: 2027 7b7b 2066 696c 6573 5f66 6f75 6e64   '{{ files_found
│ │ │ -001b3390: 2e73 7464 6f75 745f 6c69 6e65 7320 7d7d  .stdout_lines }}
│ │ │ -001b33a0: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ -001b33b0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -001b33c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -001b33d0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -001b33e0: 4953 542d 3830 302d 3137 312d 332e 312e  IST-800-171-3.1.
│ │ │ -001b33f0: 3133 0a20 202d 204e 4953 542d 3830 302d  13.  - NIST-800-
│ │ │ -001b3400: 3137 312d 332e 3133 2e31 300a 2020 2d20  171-3.13.10.  - 
│ │ │ -001b3410: 4e49 5354 2d38 3030 2d35 332d 4143 2d31  NIST-800-53-AC-1
│ │ │ -001b3420: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -001b3430: 302d 3533 2d41 432d 3628 3129 0a20 202d  0-53-AC-6(1).  -
│ │ │ -001b3440: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001b3450: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -001b3460: 2d52 6571 2d32 2e32 2e34 0a20 202d 2050  -Req-2.2.4.  - P
│ │ │ -001b3470: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001b3480: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -001b3490: 0a20 202d 2063 6f6e 6669 6775 7265 5f73  .  - configure_s
│ │ │ -001b34a0: 7472 6174 6567 790a 2020 2d20 6669 6c65  trategy.  - file
│ │ │ -001b34b0: 5f70 6572 6d69 7373 696f 6e73 5f73 7368  _permissions_ssh
│ │ │ -001b34c0: 645f 7075 625f 6b65 790a 2020 2d20 6c6f  d_pub_key.  - lo
│ │ │ -001b34d0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001b34e0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001b34f0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -001b3500: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001b3510: 745f 6e65 6564 6564 0a3c 2f63 6f64 653e  t_needed.</code>
│ │ │ -001b3520: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -001b3530: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -001b3540: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -001b3550: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -001b3560: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -001b3570: 3232 3939 2220 7461 6269 6e64 6578 3d22  2299" tabindex="
│ │ │ -001b3580: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -001b3590: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -001b35a0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -001b35b0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -001b35c0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -001b35d0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -001b35e0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -001b35f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001b3600: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001b3610: 7073 6522 2069 643d 2269 646d 3232 3239  pse" id="idm2229
│ │ │ -001b3620: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ -001b3630: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001b3640: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001b3650: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001b3660: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001b3670: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001b3680: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001b3690: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -001b36a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001b36b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -001b36c0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -001b36d0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -001b36e0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -001b36f0: 2f74 683e 3c74 643e 636f 6e66 6967 7572  /th><td>configur
│ │ │ -001b3700: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -001b3710: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ -001b3720: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ -001b3730: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ -001b3740: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ -001b3750: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ -001b3760: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ -001b3770: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ -001b3780: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ -001b3790: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ -001b37a0: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ -001b37b0: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ -001b37c0: 6865 6e0a 0a66 696e 6420 2d4c 202f 6574  hen..find -L /et
│ │ │ -001b37d0: 632f 7373 682f 202d 6d61 7864 6570 7468  c/ssh/ -maxdepth
│ │ │ -001b37e0: 2031 202d 7065 726d 202f 752b 7873 2c67   1 -perm /u+xs,g
│ │ │ -001b37f0: 2b78 7773 2c6f 2b78 7774 2020 2d74 7970  +xws,o+xwt  -typ
│ │ │ -001b3800: 6520 6620 2d72 6567 6578 7479 7065 2070  e f -regextype p
│ │ │ -001b3810: 6f73 6978 2d65 7874 656e 6465 6420 2d72  osix-extended -r
│ │ │ -001b3820: 6567 6578 2027 5e2e 2a5c 2e70 7562 2427  egex '^.*\.pub$'
│ │ │ -001b3830: 202d 6578 6563 2063 686d 6f64 2075 2d78   -exec chmod u-x
│ │ │ -001b3840: 732c 672d 7877 732c 6f2d 7877 7420 7b7d  s,g-xws,o-xwt {}
│ │ │ -001b3850: 205c 3b0a 0a65 6c73 650a 2020 2020 2667   \;..else.    &g
│ │ │ -001b3860: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ -001b3870: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ -001b3880: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ -001b3890: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ -001b38a0: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +001b2bf0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +001b2c00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +001b2c10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +001b2c20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +001b2c30: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +001b2c40: 3232 3937 223e 3c74 6162 6c65 2063 6c61  2297"><table cla
│ │ │ +001b2c50: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +001b2c60: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +001b2c70: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +001b2c80: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +001b2c90: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +001b2ca0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001b2cb0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +001b2cc0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +001b2cd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001b2ce0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +001b2cf0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +001b2d00: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +001b2d10: 793a 3c2f 7468 3e3c 7464 3e63 6f6e 6669  y:</th><td>confi
│ │ │ +001b2d20: 6775 7265 3c2f 7464 3e3c 2f74 723e 3c2f  gure</td></tr></
│ │ │ +001b2d30: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001b2d40: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +001b2d50: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +001b2d60: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +001b2d70: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +001b2d80: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +001b2d90: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +001b2da0: 312e 3133 0a20 202d 204e 4953 542d 3830  1.13.  - NIST-80
│ │ │ +001b2db0: 302d 3137 312d 332e 3133 2e31 300a 2020  0-171-3.13.10.  
│ │ │ +001b2dc0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +001b2dd0: 2d31 3728 6129 0a20 202d 204e 4953 542d  -17(a).  - NIST-
│ │ │ +001b2de0: 3830 302d 3533 2d41 432d 3628 3129 0a20  800-53-AC-6(1). 
│ │ │ +001b2df0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +001b2e00: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +001b2e10: 5353 2d52 6571 2d32 2e32 2e34 0a20 202d  SS-Req-2.2.4.  -
│ │ │ +001b2e20: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +001b2e30: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001b2e40: 2e36 0a20 202d 2063 6f6e 6669 6775 7265  .6.  - configure
│ │ │ +001b2e50: 5f73 7472 6174 6567 790a 2020 2d20 6669  _strategy.  - fi
│ │ │ +001b2e60: 6c65 5f70 6572 6d69 7373 696f 6e73 5f73  le_permissions_s
│ │ │ +001b2e70: 7368 645f 7075 625f 6b65 790a 2020 2d20  shd_pub_key.  - 
│ │ │ +001b2e80: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +001b2e90: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +001b2ea0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +001b2eb0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +001b2ec0: 6f6f 745f 6e65 6564 6564 0a0a 2d20 6e61  oot_needed..- na
│ │ │ +001b2ed0: 6d65 3a20 4669 6e64 202f 6574 632f 7373  me: Find /etc/ss
│ │ │ +001b2ee0: 682f 2066 696c 6528 7329 0a20 2063 6f6d  h/ file(s).  com
│ │ │ +001b2ef0: 6d61 6e64 3a20 6669 6e64 202d 4820 2f65  mand: find -H /e
│ │ │ +001b2f00: 7463 2f73 7368 2f20 2d6d 6178 6465 7074  tc/ssh/ -maxdept
│ │ │ +001b2f10: 6820 3120 2d70 6572 6d20 2f75 2b78 732c  h 1 -perm /u+xs,
│ │ │ +001b2f20: 672b 7877 732c 6f2b 7877 7420 202d 7479  g+xws,o+xwt  -ty
│ │ │ +001b2f30: 7065 2066 202d 7265 6765 7874 7970 650a  pe f -regextype.
│ │ │ +001b2f40: 2020 2020 706f 7369 782d 6578 7465 6e64      posix-extend
│ │ │ +001b2f50: 6564 202d 7265 6765 7820 225e 2e2a 5c2e  ed -regex "^.*\.
│ │ │ +001b2f60: 7075 6224 220a 2020 7265 6769 7374 6572  pub$".  register
│ │ │ +001b2f70: 3a20 6669 6c65 735f 666f 756e 640a 2020  : files_found.  
│ │ │ +001b2f80: 6368 616e 6765 645f 7768 656e 3a20 6661  changed_when: fa
│ │ │ +001b2f90: 6c73 650a 2020 6661 696c 6564 5f77 6865  lse.  failed_whe
│ │ │ +001b2fa0: 6e3a 2066 616c 7365 0a20 2063 6865 636b  n: false.  check
│ │ │ +001b2fb0: 5f6d 6f64 653a 2066 616c 7365 0a20 2077  _mode: false.  w
│ │ │ +001b2fc0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +001b2fd0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +001b2fe0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +001b2ff0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +001b3000: 3030 2d31 3731 2d33 2e31 2e31 330a 2020  00-171-3.1.13.  
│ │ │ +001b3010: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +001b3020: 2e31 332e 3130 0a20 202d 204e 4953 542d  .13.10.  - NIST-
│ │ │ +001b3030: 3830 302d 3533 2d41 432d 3137 2861 290a  800-53-AC-17(a).
│ │ │ +001b3040: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001b3050: 4143 2d36 2831 290a 2020 2d20 4e49 5354  AC-6(1).  - NIST
│ │ │ +001b3060: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +001b3070: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +001b3080: 322e 322e 340a 2020 2d20 5043 492d 4453  2.2.4.  - PCI-DS
│ │ │ +001b3090: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +001b30a0: 4453 5376 342d 322e 322e 360a 2020 2d20  DSSv4-2.2.6.  - 
│ │ │ +001b30b0: 636f 6e66 6967 7572 655f 7374 7261 7465  configure_strate
│ │ │ +001b30c0: 6779 0a20 202d 2066 696c 655f 7065 726d  gy.  - file_perm
│ │ │ +001b30d0: 6973 7369 6f6e 735f 7373 6864 5f70 7562  issions_sshd_pub
│ │ │ +001b30e0: 5f6b 6579 0a20 202d 206c 6f77 5f63 6f6d  _key.  - low_com
│ │ │ +001b30f0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +001b3100: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +001b3110: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +001b3120: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +001b3130: 6465 640a 0a2d 206e 616d 653a 2053 6574  ded..- name: Set
│ │ │ +001b3140: 2070 6572 6d69 7373 696f 6e73 2066 6f72   permissions for
│ │ │ +001b3150: 202f 6574 632f 7373 682f 2066 696c 6528   /etc/ssh/ file(
│ │ │ +001b3160: 7329 0a20 2066 696c 653a 0a20 2020 2070  s).  file:.    p
│ │ │ +001b3170: 6174 683a 2027 7b7b 2069 7465 6d20 7d7d  ath: '{{ item }}
│ │ │ +001b3180: 270a 2020 2020 6d6f 6465 3a20 752d 7873  '.    mode: u-xs
│ │ │ +001b3190: 2c67 2d78 7773 2c6f 2d78 7774 0a20 2020  ,g-xws,o-xwt.   
│ │ │ +001b31a0: 2073 7461 7465 3a20 6669 6c65 0a20 2077   state: file.  w
│ │ │ +001b31b0: 6974 685f 6974 656d 733a 0a20 202d 2027  ith_items:.  - '
│ │ │ +001b31c0: 7b7b 2066 696c 6573 5f66 6f75 6e64 2e73  {{ files_found.s
│ │ │ +001b31d0: 7464 6f75 745f 6c69 6e65 7320 7d7d 270a  tdout_lines }}'.
│ │ │ +001b31e0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +001b31f0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +001b3200: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +001b3210: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +001b3220: 542d 3830 302d 3137 312d 332e 312e 3133  T-800-171-3.1.13
│ │ │ +001b3230: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ +001b3240: 312d 332e 3133 2e31 300a 2020 2d20 4e49  1-3.13.10.  - NI
│ │ │ +001b3250: 5354 2d38 3030 2d35 332d 4143 2d31 3728  ST-800-53-AC-17(
│ │ │ +001b3260: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001b3270: 3533 2d41 432d 3628 3129 0a20 202d 204e  53-AC-6(1).  - N
│ │ │ +001b3280: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +001b3290: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ +001b32a0: 6571 2d32 2e32 2e34 0a20 202d 2050 4349  eq-2.2.4.  - PCI
│ │ │ +001b32b0: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +001b32c0: 4349 2d44 5353 7634 2d32 2e32 2e36 0a20  CI-DSSv4-2.2.6. 
│ │ │ +001b32d0: 202d 2063 6f6e 6669 6775 7265 5f73 7472   - configure_str
│ │ │ +001b32e0: 6174 6567 790a 2020 2d20 6669 6c65 5f70  ategy.  - file_p
│ │ │ +001b32f0: 6572 6d69 7373 696f 6e73 5f73 7368 645f  ermissions_sshd_
│ │ │ +001b3300: 7075 625f 6b65 790a 2020 2d20 6c6f 775f  pub_key.  - low_
│ │ │ +001b3310: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +001b3320: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +001b3330: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +001b3340: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +001b3350: 6e65 6564 6564 0a3c 2f63 6f64 653e 3c2f  needed.</code></
│ │ │ +001b3360: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +001b3370: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +001b3380: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +001b3390: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +001b33a0: 2d74 6172 6765 743d 2223 6964 6d32 3232  -target="#idm222
│ │ │ +001b33b0: 3938 2220 7461 6269 6e64 6578 3d22 3022  98" tabindex="0"
│ │ │ +001b33c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +001b33d0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +001b33e0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +001b33f0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +001b3400: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +001b3410: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +001b3420: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +001b3430: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001b3440: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001b3450: 6522 2069 643d 2269 646d 3232 3239 3822  e" id="idm22298"
│ │ │ +001b3460: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +001b3470: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +001b3480: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +001b3490: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +001b34a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +001b34b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +001b34c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001b34d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +001b34e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001b34f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +001b3500: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +001b3510: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +001b3520: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +001b3530: 683e 3c74 643e 636f 6e66 6967 7572 653c  h><td>configure<
│ │ │ +001b3540: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +001b3550: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ +001b3560: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ +001b3570: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ +001b3580: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ +001b3590: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ +001b35a0: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ +001b35b0: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ +001b35c0: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ +001b35d0: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ +001b35e0: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ +001b35f0: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ +001b3600: 6e0a 0a66 696e 6420 2d4c 202f 6574 632f  n..find -L /etc/
│ │ │ +001b3610: 7373 682f 202d 6d61 7864 6570 7468 2031  ssh/ -maxdepth 1
│ │ │ +001b3620: 202d 7065 726d 202f 752b 7873 2c67 2b78   -perm /u+xs,g+x
│ │ │ +001b3630: 7773 2c6f 2b78 7774 2020 2d74 7970 6520  ws,o+xwt  -type 
│ │ │ +001b3640: 6620 2d72 6567 6578 7479 7065 2070 6f73  f -regextype pos
│ │ │ +001b3650: 6978 2d65 7874 656e 6465 6420 2d72 6567  ix-extended -reg
│ │ │ +001b3660: 6578 2027 5e2e 2a5c 2e70 7562 2427 202d  ex '^.*\.pub$' -
│ │ │ +001b3670: 6578 6563 2063 686d 6f64 2075 2d78 732c  exec chmod u-xs,
│ │ │ +001b3680: 672d 7877 732c 6f2d 7877 7420 7b7d 205c  g-xws,o-xwt {} \
│ │ │ +001b3690: 3b0a 0a65 6c73 650a 2020 2020 2667 743b  ;..else.    &gt;
│ │ │ +001b36a0: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ +001b36b0: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ +001b36c0: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ +001b36d0: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +001b36e0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +001b36f0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +001b3700: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +001b3710: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +001b3720: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +001b3730: 743d 2223 6964 6d32 3232 3939 2220 7461  t="#idm22299" ta
│ │ │ +001b3740: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +001b3750: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +001b3760: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +001b3770: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +001b3780: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +001b3790: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +001b37a0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +001b37b0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001b37c0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001b37d0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001b37e0: 643d 2269 646d 3232 3239 3922 3e3c 7072  d="idm22299"><pr
│ │ │ +001b37f0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +001b3800: 7373 685f 7075 626c 6963 5f6b 6579 5f70  ssh_public_key_p
│ │ │ +001b3810: 6572 6d73 0a0a 636c 6173 7320 7373 685f  erms..class ssh_
│ │ │ +001b3820: 7075 626c 6963 5f6b 6579 5f70 6572 6d73  public_key_perms
│ │ │ +001b3830: 207b 0a20 2065 7865 6320 7b20 2773 7368   {.  exec { 'ssh
│ │ │ +001b3840: 645f 7075 625f 6b65 7927 3a0a 2020 2020  d_pub_key':.    
│ │ │ +001b3850: 636f 6d6d 616e 6420 3d26 6774 3b20 2263  command =&gt; "c
│ │ │ +001b3860: 686d 6f64 2030 3634 3420 2f65 7463 2f73  hmod 0644 /etc/s
│ │ │ +001b3870: 7368 2f2a 2e70 7562 222c 0a20 2020 2070  sh/*.pub",.    p
│ │ │ +001b3880: 6174 6820 2020 203d 2667 743b 2027 2f62  ath    =&gt; '/b
│ │ │ +001b3890: 696e 3a2f 7573 722f 6269 6e27 0a20 207d  in:/usr/bin'.  }
│ │ │ +001b38a0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  001b38b0: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  001b38c0: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  001b38d0: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  001b38e0: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  001b38f0: 6368 696c 6472 656e 2d78 6363 6466 5f6f  children-xccdf_o
│ │ │  001b3900: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  001b3910: 6e74 656e 745f 6772 6f75 705f 6175 6469  ntent_group_audi
│ │ │ @@ -113603,204 +113603,204 @@
│ │ │  001bbc20: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  001bbc30: 3234 3634 3722 2074 6162 696e 6465 783d  24647" tabindex=
│ │ │  001bbc40: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  001bbc50: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  001bbc60: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  001bbc70: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  001bbc80: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001bbc90: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -001bbca0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -001bbcb0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -001bbcc0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -001bbcd0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -001bbce0: 6522 2069 643d 2269 646d 3234 3634 3722  e" id="idm24647"
│ │ │ -001bbcf0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ -001bbd00: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ -001bbd10: 2022 6175 6469 7464 220a 7665 7273 696f   "auditd".versio
│ │ │ -001bbd20: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ -001bbd30: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -001bbd40: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -001bbd50: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -001bbd60: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -001bbd70: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ -001bbd80: 3634 3822 2074 6162 696e 6465 783d 2230  648" tabindex="0
│ │ │ -001bbd90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -001bbda0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -001bbdb0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -001bbdc0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -001bbdd0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001bbde0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -001bbdf0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001bbe00: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001bbe10: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001bbe20: 6170 7365 2220 6964 3d22 6964 6d32 3436  apse" id="idm246
│ │ │ -001bbe30: 3438 223e 3c74 6162 6c65 2063 6c61 7373  48"><table class
│ │ │ -001bbe40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001bbe50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001bbe60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001bbe70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001bbe80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001bbe90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001bbea0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001bbeb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001bbec0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001bbed0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001bbee0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001bbef0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001bbf00: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -001bbf10: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001bbf20: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -001bbf30: 7564 6520 696e 7374 616c 6c5f 6175 6469  ude install_audi
│ │ │ -001bbf40: 7464 0a0a 636c 6173 7320 696e 7374 616c  td..class instal
│ │ │ -001bbf50: 6c5f 6175 6469 7464 207b 0a20 2070 6163  l_auditd {.  pac
│ │ │ -001bbf60: 6b61 6765 207b 2027 6175 6469 7464 273a  kage { 'auditd':
│ │ │ -001bbf70: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -001bbf80: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -001bbf90: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -001bbfa0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -001bbfb0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -001bbfc0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -001bbfd0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -001bbfe0: 6172 6765 743d 2223 6964 6d32 3436 3439  arget="#idm24649
│ │ │ -001bbff0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001bc000: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001bc010: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001bc020: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001bc030: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001bc040: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001bc050: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -001bc060: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001bc070: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001bc080: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001bc090: 7365 2220 6964 3d22 6964 6d32 3436 3439  se" id="idm24649
│ │ │ -001bc0a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001bc0b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001bc0c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001bc0d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001bc0e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001bc0f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001bc100: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001bc110: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001bc120: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001bc130: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001bc140: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001bc150: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001bc160: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001bc170: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -001bc180: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -001bc190: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -001bc1a0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -001bc1b0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -001bc1c0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -001bc1d0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -001bc1e0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -001bc1f0: 3030 2d35 332d 4143 2d37 2861 290a 2020  00-53-AC-7(a).  
│ │ │ -001bc200: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -001bc210: 2d31 3228 3229 0a20 202d 204e 4953 542d  -12(2).  - NIST-
│ │ │ -001bc220: 3830 302d 3533 2d41 552d 3134 0a20 202d  800-53-AU-14.  -
│ │ │ -001bc230: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -001bc240: 3228 6129 0a20 202d 204e 4953 542d 3830  2(a).  - NIST-80
│ │ │ -001bc250: 302d 3533 2d41 552d 3728 3129 0a20 202d  0-53-AU-7(1).  -
│ │ │ -001bc260: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -001bc270: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ -001bc280: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -001bc290: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -001bc2a0: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ -001bc2b0: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ -001bc2c0: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ -001bc2d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -001bc2e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001bc2f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001bc300: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001bc310: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001bc320: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001bc330: 2070 6163 6b61 6765 5f61 7564 6974 5f69   package_audit_i
│ │ │ -001bc340: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ -001bc350: 3a20 456e 7375 7265 2061 7564 6974 6420  : Ensure auditd 
│ │ │ -001bc360: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ -001bc370: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -001bc380: 3a20 6175 6469 7464 0a20 2020 2073 7461  : auditd.    sta
│ │ │ -001bc390: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ -001bc3a0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ -001bc3b0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -001bc3c0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -001bc3d0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -001bc3e0: 302d 3533 2d41 432d 3728 6129 0a20 202d  0-53-AC-7(a).  -
│ │ │ -001bc3f0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -001bc400: 3132 2832 290a 2020 2d20 4e49 5354 2d38  12(2).  - NIST-8
│ │ │ -001bc410: 3030 2d35 332d 4155 2d31 340a 2020 2d20  00-53-AU-14.  - 
│ │ │ -001bc420: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ -001bc430: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -001bc440: 2d35 332d 4155 2d37 2831 290a 2020 2d20  -53-AU-7(1).  - 
│ │ │ -001bc450: 4e49 5354 2d38 3030 2d35 332d 4155 2d37  NIST-800-53-AU-7
│ │ │ -001bc460: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ -001bc470: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -001bc480: 5043 492d 4453 532d 5265 712d 3130 2e31  PCI-DSS-Req-10.1
│ │ │ -001bc490: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ -001bc4a0: 302e 320a 2020 2d20 5043 492d 4453 5376  0.2.  - PCI-DSSv
│ │ │ -001bc4b0: 342d 3130 2e32 2e31 0a20 202d 2065 6e61  4-10.2.1.  - ena
│ │ │ -001bc4c0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -001bc4d0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -001bc4e0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -001bc4f0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -001bc500: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -001bc510: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -001bc520: 7061 636b 6167 655f 6175 6469 745f 696e  package_audit_in
│ │ │ -001bc530: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ -001bc540: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -001bc550: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -001bc560: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -001bc570: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -001bc580: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ -001bc590: 3635 3022 2074 6162 696e 6465 783d 2230  650" tabindex="0
│ │ │ -001bc5a0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -001bc5b0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -001bc5c0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -001bc5d0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -001bc5e0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001bc5f0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -001bc600: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -001bc610: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001bc620: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001bc630: 7365 2220 6964 3d22 6964 6d32 3436 3530  se" id="idm24650
│ │ │ -001bc640: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001bc650: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001bc660: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001bc670: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001bc680: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001bc690: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001bc6a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001bc6b0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001bc6c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001bc6d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001bc6e0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001bc6f0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001bc700: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001bc710: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -001bc720: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -001bc730: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -001bc740: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -001bc750: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -001bc760: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -001bc770: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ -001bc780: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ -001bc790: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ -001bc7a0: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ -001bc7b0: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ -001bc7c0: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ -001bc7d0: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ -001bc7e0: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -001bc7f0: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -001bc800: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ -001bc810: 2d79 2022 6175 6469 7464 220a 0a65 6c73  -y "auditd"..els
│ │ │ -001bc820: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ -001bc830: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ -001bc840: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ -001bc850: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ -001bc860: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +001bbc90: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +001bbca0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001bbcb0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001bbcc0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001bbcd0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001bbce0: 3234 3634 3722 3e3c 7461 626c 6520 636c  24647"><table cl
│ │ │ +001bbcf0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001bbd00: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001bbd10: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001bbd20: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001bbd30: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001bbd40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001bbd50: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001bbd60: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001bbd70: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001bbd80: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001bbd90: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001bbda0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001bbdb0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +001bbdc0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +001bbdd0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +001bbde0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +001bbdf0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +001bbe00: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +001bbe10: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +001bbe20: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ +001bbe30: 4953 542d 3830 302d 3533 2d41 432d 3728  IST-800-53-AC-7(
│ │ │ +001bbe40: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001bbe50: 3533 2d41 552d 3132 2832 290a 2020 2d20  53-AU-12(2).  - 
│ │ │ +001bbe60: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +001bbe70: 340a 2020 2d20 4e49 5354 2d38 3030 2d35  4.  - NIST-800-5
│ │ │ +001bbe80: 332d 4155 2d32 2861 290a 2020 2d20 4e49  3-AU-2(a).  - NI
│ │ │ +001bbe90: 5354 2d38 3030 2d35 332d 4155 2d37 2831  ST-800-53-AU-7(1
│ │ │ +001bbea0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +001bbeb0: 332d 4155 2d37 2832 290a 2020 2d20 4e49  3-AU-7(2).  - NI
│ │ │ +001bbec0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +001bbed0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +001bbee0: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ +001bbef0: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ +001bbf00: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ +001bbf10: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +001bbf20: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +001bbf30: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +001bbf40: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +001bbf50: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +001bbf60: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +001bbf70: 640a 2020 2d20 7061 636b 6167 655f 6175  d.  - package_au
│ │ │ +001bbf80: 6469 745f 696e 7374 616c 6c65 640a 0a2d  dit_installed..-
│ │ │ +001bbf90: 206e 616d 653a 2045 6e73 7572 6520 6175   name: Ensure au
│ │ │ +001bbfa0: 6469 7464 2069 7320 696e 7374 616c 6c65  ditd is installe
│ │ │ +001bbfb0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +001bbfc0: 206e 616d 653a 2061 7564 6974 640a 2020   name: auditd.  
│ │ │ +001bbfd0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +001bbfe0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +001bbff0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +001bc000: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +001bc010: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ +001bc020: 5354 2d38 3030 2d35 332d 4143 2d37 2861  ST-800-53-AC-7(a
│ │ │ +001bc030: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +001bc040: 332d 4155 2d31 3228 3229 0a20 202d 204e  3-AU-12(2).  - N
│ │ │ +001bc050: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ +001bc060: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001bc070: 2d41 552d 3228 6129 0a20 202d 204e 4953  -AU-2(a).  - NIS
│ │ │ +001bc080: 542d 3830 302d 3533 2d41 552d 3728 3129  T-800-53-AU-7(1)
│ │ │ +001bc090: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001bc0a0: 2d41 552d 3728 3229 0a20 202d 204e 4953  -AU-7(2).  - NIS
│ │ │ +001bc0b0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +001bc0c0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +001bc0d0: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ +001bc0e0: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ +001bc0f0: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ +001bc100: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +001bc110: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +001bc120: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +001bc130: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +001bc140: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +001bc150: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +001bc160: 0a20 202d 2070 6163 6b61 6765 5f61 7564  .  - package_aud
│ │ │ +001bc170: 6974 5f69 6e73 7461 6c6c 6564 0a3c 2f63  it_installed.</c
│ │ │ +001bc180: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +001bc190: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +001bc1a0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +001bc1b0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +001bc1c0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +001bc1d0: 6964 6d32 3436 3438 2220 7461 6269 6e64  idm24648" tabind
│ │ │ +001bc1e0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +001bc1f0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +001bc200: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +001bc210: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +001bc220: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +001bc230: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +001bc240: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +001bc250: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001bc260: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001bc270: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001bc280: 3234 3634 3822 3e3c 7461 626c 6520 636c  24648"><table cl
│ │ │ +001bc290: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001bc2a0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001bc2b0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001bc2c0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001bc2d0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001bc2e0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001bc2f0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001bc300: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001bc310: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001bc320: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001bc330: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001bc340: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001bc350: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +001bc360: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +001bc370: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ +001bc380: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ +001bc390: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ +001bc3a0: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ +001bc3b0: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565  orms.if dpkg-que
│ │ │ +001bc3c0: 7279 202d 2d73 686f 7720 2d2d 7368 6f77  ry --show --show
│ │ │ +001bc3d0: 666f 726d 6174 3d27 247b 6462 3a53 7461  format='${db:Sta
│ │ │ +001bc3e0: 7475 732d 5374 6174 7573 7d0a 2720 276c  tus-Status}.' 'l
│ │ │ +001bc3f0: 696e 7578 2d62 6173 6527 2032 2667 743b  inux-base' 2&gt;
│ │ │ +001bc400: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570  /dev/null | grep
│ │ │ +001bc410: 202d 7120 5e69 6e73 7461 6c6c 6564 3b20   -q ^installed; 
│ │ │ +001bc420: 7468 656e 0a0a 4445 4249 414e 5f46 524f  then..DEBIAN_FRO
│ │ │ +001bc430: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +001bc440: 7469 7665 2061 7074 2d67 6574 2069 6e73  tive apt-get ins
│ │ │ +001bc450: 7461 6c6c 202d 7920 2261 7564 6974 6422  tall -y "auditd"
│ │ │ +001bc460: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ +001bc470: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ +001bc480: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ +001bc490: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ +001bc4a0: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +001bc4b0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +001bc4c0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +001bc4d0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +001bc4e0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +001bc4f0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +001bc500: 3d22 2369 646d 3234 3634 3922 2074 6162  ="#idm24649" tab
│ │ │ +001bc510: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +001bc520: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +001bc530: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +001bc540: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +001bc550: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +001bc560: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +001bc570: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +001bc580: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001bc590: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001bc5a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001bc5b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001bc5c0: 3234 3634 3922 3e3c 7072 653e 3c63 6f64  24649"><pre><cod
│ │ │ +001bc5d0: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ +001bc5e0: 6e61 6d65 203d 2022 6175 6469 7464 220a  name = "auditd".
│ │ │ +001bc5f0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ +001bc600: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +001bc610: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +001bc620: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +001bc630: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +001bc640: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +001bc650: 2369 646d 3234 3635 3022 2074 6162 696e  #idm24650" tabin
│ │ │ +001bc660: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +001bc670: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +001bc680: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +001bc690: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +001bc6a0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +001bc6b0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +001bc6c0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +001bc6d0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +001bc6e0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +001bc6f0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +001bc700: 6964 6d32 3436 3530 223e 3c74 6162 6c65  idm24650"><table
│ │ │ +001bc710: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +001bc720: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +001bc730: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +001bc740: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +001bc750: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +001bc760: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001bc770: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +001bc780: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +001bc790: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001bc7a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +001bc7b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +001bc7c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +001bc7d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +001bc7e0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +001bc7f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001bc800: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ +001bc810: 6c5f 6175 6469 7464 0a0a 636c 6173 7320  l_auditd..class 
│ │ │ +001bc820: 696e 7374 616c 6c5f 6175 6469 7464 207b  install_auditd {
│ │ │ +001bc830: 0a20 2070 6163 6b61 6765 207b 2027 6175  .  package { 'au
│ │ │ +001bc840: 6469 7464 273a 0a20 2020 2065 6e73 7572  ditd':.    ensur
│ │ │ +001bc850: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ +001bc860: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  001bc870: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  001bc880: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  001bc890: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  001bc8a0: 7464 3e3c 2f74 723e 3c74 7220 6461 7461  td></tr><tr data
│ │ │  001bc8b0: 2d74 742d 6964 3d22 7863 6364 665f 6f72  -tt-id="xccdf_or
│ │ │  001bc8c0: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  001bc8d0: 7465 6e74 5f72 756c 655f 7365 7276 6963  tent_rule_servic
│ │ │ @@ -114210,191 +114210,191 @@
│ │ │  001be210: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  001be220: 2223 6964 6d32 3438 3438 2220 7461 6269  "#idm24848" tabi
│ │ │  001be230: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  001be240: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  001be250: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  001be260: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  001be270: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -001be280: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -001be290: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -001be2a0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001be2b0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001be2c0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001be2d0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001be2e0: 3438 3438 223e 3c70 7265 3e3c 636f 6465  4848"><pre><code
│ │ │ -001be2f0: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ -001be300: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ -001be310: 6c65 6420 3d20 5b22 6175 6469 7464 225d  led = ["auditd"]
│ │ │ -001be320: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -001be330: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -001be340: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -001be350: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -001be360: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -001be370: 743d 2223 6964 6d32 3438 3439 2220 7461  t="#idm24849" ta
│ │ │ -001be380: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -001be390: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -001be3a0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -001be3b0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -001be3c0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -001be3d0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -001be3e0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -001be3f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001be400: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001be410: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001be420: 643d 2269 646d 3234 3834 3922 3e3c 7461  d="idm24849"><ta
│ │ │ -001be430: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001be440: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001be450: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001be460: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001be470: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001be480: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001be490: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001be4a0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001be4b0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001be4c0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001be4d0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001be4e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001be4f0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001be500: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -001be510: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001be520: 636f 6465 3e69 6e63 6c75 6465 2065 6e61  code>include ena
│ │ │ -001be530: 626c 655f 6175 6469 7464 0a0a 636c 6173  ble_auditd..clas
│ │ │ -001be540: 7320 656e 6162 6c65 5f61 7564 6974 6420  s enable_auditd 
│ │ │ -001be550: 7b0a 2020 7365 7276 6963 6520 7b27 6175  {.  service {'au
│ │ │ -001be560: 6469 7464 273a 0a20 2020 2065 6e61 626c  ditd':.    enabl
│ │ │ -001be570: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ -001be580: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -001be590: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ -001be5a0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -001be5b0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -001be5c0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -001be5d0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -001be5e0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -001be5f0: 3d22 2369 646d 3234 3835 3022 2074 6162  ="#idm24850" tab
│ │ │ -001be600: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -001be610: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -001be620: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -001be630: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -001be640: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001be650: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -001be660: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -001be670: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001be680: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001be690: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001be6a0: 643d 2269 646d 3234 3835 3022 3e3c 7461  d="idm24850"><ta
│ │ │ -001be6b0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001be6c0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001be6d0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001be6e0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001be6f0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001be700: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001be710: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001be720: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001be730: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001be740: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001be750: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001be760: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001be770: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001be780: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -001be790: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001be7a0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -001be7b0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -001be7c0: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -001be7d0: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -001be7e0: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -001be7f0: 0a20 202d 2043 4a49 532d 352e 342e 312e  .  - CJIS-5.4.1.
│ │ │ -001be800: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ -001be810: 3731 2d33 2e33 2e31 0a20 202d 204e 4953  71-3.3.1.  - NIS
│ │ │ -001be820: 542d 3830 302d 3137 312d 332e 332e 320a  T-800-171-3.3.2.
│ │ │ -001be830: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -001be840: 2d33 2e33 2e36 0a20 202d 204e 4953 542d  -3.3.6.  - NIST-
│ │ │ -001be850: 3830 302d 3533 2d41 432d 3228 6729 0a20  800-53-AC-2(g). 
│ │ │ -001be860: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -001be870: 432d 3628 3929 0a20 202d 204e 4953 542d  C-6(9).  - NIST-
│ │ │ -001be880: 3830 302d 3533 2d41 552d 3130 0a20 202d  800-53-AU-10.  -
│ │ │ -001be890: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -001be8a0: 3132 2863 290a 2020 2d20 4e49 5354 2d38  12(c).  - NIST-8
│ │ │ -001be8b0: 3030 2d35 332d 4155 2d31 3428 3129 0a20  00-53-AU-14(1). 
│ │ │ -001be8c0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -001be8d0: 552d 3228 6429 0a20 202d 204e 4953 542d  U-2(d).  - NIST-
│ │ │ -001be8e0: 3830 302d 3533 2d41 552d 330a 2020 2d20  800-53-AU-3.  - 
│ │ │ -001be8f0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -001be900: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -001be910: 2d35 332d 5349 2d34 2832 3329 0a20 202d  -53-SI-4(23).  -
│ │ │ -001be920: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -001be930: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ -001be940: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ -001be950: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ -001be960: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -001be970: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001be980: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001be990: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001be9a0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001be9b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001be9c0: 2073 6572 7669 6365 5f61 7564 6974 645f   service_auditd_
│ │ │ -001be9d0: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ -001be9e0: 2045 6e61 626c 6520 6175 6469 7464 2053   Enable auditd S
│ │ │ -001be9f0: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ -001bea00: 7365 7276 6963 6520 6175 6469 7464 0a20  service auditd. 
│ │ │ -001bea10: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ -001bea20: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -001bea30: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ -001bea40: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -001bea50: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ -001bea60: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ -001bea70: 6162 6c65 2061 7564 6974 6420 5365 7276  able auditd Serv
│ │ │ -001bea80: 6963 6520 2d20 456e 6162 6c65 2053 6572  ice - Enable Ser
│ │ │ -001bea90: 7669 6365 2061 7564 6974 640a 2020 2020  vice auditd.    
│ │ │ -001beaa0: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ -001beab0: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ -001beac0: 616d 653a 2061 7564 6974 640a 2020 2020  ame: auditd.    
│ │ │ -001bead0: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ -001beae0: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ -001beaf0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ -001beb00: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ -001beb10: 6e3a 0a20 2020 202d 2027 2261 7564 6974  n:.    - '"audit
│ │ │ -001beb20: 6422 2069 6e20 616e 7369 626c 655f 6661  d" in ansible_fa
│ │ │ -001beb30: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -001beb40: 7768 656e 3a0a 2020 2d20 2722 6c69 6e75  when:.  - '"linu
│ │ │ -001beb50: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -001beb60: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -001beb70: 7327 0a20 202d 2027 2261 7564 6974 6422  s'.  - '"auditd"
│ │ │ -001beb80: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -001beb90: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -001beba0: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34  gs:.  - CJIS-5.4
│ │ │ -001bebb0: 2e31 2e31 0a20 202d 204e 4953 542d 3830  .1.1.  - NIST-80
│ │ │ -001bebc0: 302d 3137 312d 332e 332e 310a 2020 2d20  0-171-3.3.1.  - 
│ │ │ -001bebd0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ -001bebe0: 2e32 0a20 202d 204e 4953 542d 3830 302d  .2.  - NIST-800-
│ │ │ -001bebf0: 3137 312d 332e 332e 360a 2020 2d20 4e49  171-3.3.6.  - NI
│ │ │ -001bec00: 5354 2d38 3030 2d35 332d 4143 2d32 2867  ST-800-53-AC-2(g
│ │ │ -001bec10: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001bec20: 332d 4143 2d36 2839 290a 2020 2d20 4e49  3-AC-6(9).  - NI
│ │ │ -001bec30: 5354 2d38 3030 2d35 332d 4155 2d31 300a  ST-800-53-AU-10.
│ │ │ -001bec40: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -001bec50: 4155 2d31 3228 6329 0a20 202d 204e 4953  AU-12(c).  - NIS
│ │ │ -001bec60: 542d 3830 302d 3533 2d41 552d 3134 2831  T-800-53-AU-14(1
│ │ │ -001bec70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001bec80: 332d 4155 2d32 2864 290a 2020 2d20 4e49  3-AU-2(d).  - NI
│ │ │ -001bec90: 5354 2d38 3030 2d35 332d 4155 2d33 0a20  ST-800-53-AU-3. 
│ │ │ -001beca0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -001becb0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -001becc0: 3830 302d 3533 2d53 492d 3428 3233 290a  800-53-SI-4(23).
│ │ │ -001becd0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -001bece0: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ -001becf0: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ -001bed00: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ -001bed10: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -001bed20: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -001bed30: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -001bed40: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -001bed50: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -001bed60: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -001bed70: 2020 2d20 7365 7276 6963 655f 6175 6469    - service_audi
│ │ │ -001bed80: 7464 5f65 6e61 626c 6564 0a3c 2f63 6f64  td_enabled.</cod
│ │ │ +001be280: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +001be290: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +001be2a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +001be2b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +001be2c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +001be2d0: 3d22 6964 6d32 3438 3438 223e 3c74 6162  ="idm24848"><tab
│ │ │ +001be2e0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +001be2f0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +001be300: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +001be310: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +001be320: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +001be330: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001be340: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +001be350: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +001be360: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001be370: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +001be380: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +001be390: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +001be3a0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +001be3b0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +001be3c0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001be3d0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +001be3e0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +001be3f0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +001be400: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +001be410: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +001be420: 2020 2d20 434a 4953 2d35 2e34 2e31 2e31    - CJIS-5.4.1.1
│ │ │ +001be430: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ +001be440: 312d 332e 332e 310a 2020 2d20 4e49 5354  1-3.3.1.  - NIST
│ │ │ +001be450: 2d38 3030 2d31 3731 2d33 2e33 2e32 0a20  -800-171-3.3.2. 
│ │ │ +001be460: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +001be470: 332e 332e 360a 2020 2d20 4e49 5354 2d38  3.3.6.  - NIST-8
│ │ │ +001be480: 3030 2d35 332d 4143 2d32 2867 290a 2020  00-53-AC-2(g).  
│ │ │ +001be490: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +001be4a0: 2d36 2839 290a 2020 2d20 4e49 5354 2d38  -6(9).  - NIST-8
│ │ │ +001be4b0: 3030 2d35 332d 4155 2d31 300a 2020 2d20  00-53-AU-10.  - 
│ │ │ +001be4c0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +001be4d0: 3228 6329 0a20 202d 204e 4953 542d 3830  2(c).  - NIST-80
│ │ │ +001be4e0: 302d 3533 2d41 552d 3134 2831 290a 2020  0-53-AU-14(1).  
│ │ │ +001be4f0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +001be500: 2d32 2864 290a 2020 2d20 4e49 5354 2d38  -2(d).  - NIST-8
│ │ │ +001be510: 3030 2d35 332d 4155 2d33 0a20 202d 204e  00-53-AU-3.  - N
│ │ │ +001be520: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +001be530: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001be540: 3533 2d53 492d 3428 3233 290a 2020 2d20  53-SI-4(23).  - 
│ │ │ +001be550: 5043 492d 4453 532d 5265 712d 3130 2e31  PCI-DSS-Req-10.1
│ │ │ +001be560: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +001be570: 302e 320a 2020 2d20 5043 492d 4453 5376  0.2.  - PCI-DSSv
│ │ │ +001be580: 342d 3130 2e32 2e31 0a20 202d 2065 6e61  4-10.2.1.  - ena
│ │ │ +001be590: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +001be5a0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +001be5b0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +001be5c0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +001be5d0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +001be5e0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +001be5f0: 7365 7276 6963 655f 6175 6469 7464 5f65  service_auditd_e
│ │ │ +001be600: 6e61 626c 6564 0a0a 2d20 6e61 6d65 3a20  nabled..- name: 
│ │ │ +001be610: 456e 6162 6c65 2061 7564 6974 6420 5365  Enable auditd Se
│ │ │ +001be620: 7276 6963 6520 2d20 456e 6162 6c65 2073  rvice - Enable s
│ │ │ +001be630: 6572 7669 6365 2061 7564 6974 640a 2020  ervice auditd.  
│ │ │ +001be640: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ +001be650: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +001be660: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ +001be670: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +001be680: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +001be690: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ +001be6a0: 626c 6520 6175 6469 7464 2053 6572 7669  ble auditd Servi
│ │ │ +001be6b0: 6365 202d 2045 6e61 626c 6520 5365 7276  ce - Enable Serv
│ │ │ +001be6c0: 6963 6520 6175 6469 7464 0a20 2020 2061  ice auditd.    a
│ │ │ +001be6d0: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ +001be6e0: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ +001be6f0: 6d65 3a20 6175 6469 7464 0a20 2020 2020  me: auditd.     
│ │ │ +001be700: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ +001be710: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ +001be720: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ +001be730: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ +001be740: 3a0a 2020 2020 2d20 2722 6175 6469 7464  :.    - '"auditd
│ │ │ +001be750: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +001be760: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ +001be770: 6865 6e3a 0a20 202d 2027 226c 696e 7578  hen:.  - '"linux
│ │ │ +001be780: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +001be790: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +001be7a0: 270a 2020 2d20 2722 6175 6469 7464 2220  '.  - '"auditd" 
│ │ │ +001be7b0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +001be7c0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +001be7d0: 733a 0a20 202d 2043 4a49 532d 352e 342e  s:.  - CJIS-5.4.
│ │ │ +001be7e0: 312e 310a 2020 2d20 4e49 5354 2d38 3030  1.1.  - NIST-800
│ │ │ +001be7f0: 2d31 3731 2d33 2e33 2e31 0a20 202d 204e  -171-3.3.1.  - N
│ │ │ +001be800: 4953 542d 3830 302d 3137 312d 332e 332e  IST-800-171-3.3.
│ │ │ +001be810: 320a 2020 2d20 4e49 5354 2d38 3030 2d31  2.  - NIST-800-1
│ │ │ +001be820: 3731 2d33 2e33 2e36 0a20 202d 204e 4953  71-3.3.6.  - NIS
│ │ │ +001be830: 542d 3830 302d 3533 2d41 432d 3228 6729  T-800-53-AC-2(g)
│ │ │ +001be840: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001be850: 2d41 432d 3628 3929 0a20 202d 204e 4953  -AC-6(9).  - NIS
│ │ │ +001be860: 542d 3830 302d 3533 2d41 552d 3130 0a20  T-800-53-AU-10. 
│ │ │ +001be870: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +001be880: 552d 3132 2863 290a 2020 2d20 4e49 5354  U-12(c).  - NIST
│ │ │ +001be890: 2d38 3030 2d35 332d 4155 2d31 3428 3129  -800-53-AU-14(1)
│ │ │ +001be8a0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001be8b0: 2d41 552d 3228 6429 0a20 202d 204e 4953  -AU-2(d).  - NIS
│ │ │ +001be8c0: 542d 3830 302d 3533 2d41 552d 330a 2020  T-800-53-AU-3.  
│ │ │ +001be8d0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +001be8e0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ +001be8f0: 3030 2d35 332d 5349 2d34 2832 3329 0a20  00-53-SI-4(23). 
│ │ │ +001be900: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +001be910: 302e 310a 2020 2d20 5043 492d 4453 5376  0.1.  - PCI-DSSv
│ │ │ +001be920: 342d 3130 2e32 0a20 202d 2050 4349 2d44  4-10.2.  - PCI-D
│ │ │ +001be930: 5353 7634 2d31 302e 322e 310a 2020 2d20  SSv4-10.2.1.  - 
│ │ │ +001be940: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +001be950: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +001be960: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +001be970: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +001be980: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +001be990: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +001be9a0: 202d 2073 6572 7669 6365 5f61 7564 6974   - service_audit
│ │ │ +001be9b0: 645f 656e 6162 6c65 640a 3c2f 636f 6465  d_enabled.</code
│ │ │ +001be9c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +001be9d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +001be9e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +001be9f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +001bea00: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +001bea10: 3234 3834 3922 2074 6162 696e 6465 783d  24849" tabindex=
│ │ │ +001bea20: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +001bea30: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +001bea40: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +001bea50: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +001bea60: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +001bea70: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +001bea80: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +001bea90: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001beaa0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001beab0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001beac0: 6522 2069 643d 2269 646d 3234 3834 3922  e" id="idm24849"
│ │ │ +001bead0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ +001beae0: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ +001beaf0: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ +001beb00: 205b 2261 7564 6974 6422 5d0a 3c2f 636f   ["auditd"].</co
│ │ │ +001beb10: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +001beb20: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +001beb30: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +001beb40: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +001beb50: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +001beb60: 646d 3234 3835 3022 2074 6162 696e 6465  dm24850" tabinde
│ │ │ +001beb70: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +001beb80: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +001beb90: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +001beba0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +001bebb0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +001bebc0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +001bebd0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +001bebe0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001bebf0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001bec00: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001bec10: 6d32 3438 3530 223e 3c74 6162 6c65 2063  m24850"><table c
│ │ │ +001bec20: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +001bec30: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +001bec40: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +001bec50: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +001bec60: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +001bec70: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001bec80: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +001bec90: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +001beca0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001becb0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +001becc0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +001becd0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +001bece0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +001becf0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001bed00: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001bed10: 696e 636c 7564 6520 656e 6162 6c65 5f61  include enable_a
│ │ │ +001bed20: 7564 6974 640a 0a63 6c61 7373 2065 6e61  uditd..class ena
│ │ │ +001bed30: 626c 655f 6175 6469 7464 207b 0a20 2073  ble_auditd {.  s
│ │ │ +001bed40: 6572 7669 6365 207b 2761 7564 6974 6427  ervice {'auditd'
│ │ │ +001bed50: 3a0a 2020 2020 656e 6162 6c65 203d 2667  :.    enable =&g
│ │ │ +001bed60: 743b 2074 7275 652c 0a20 2020 2065 6e73  t; true,.    ens
│ │ │ +001bed70: 7572 6520 3d26 6774 3b20 2772 756e 6e69  ure =&gt; 'runni
│ │ │ +001bed80: 6e67 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ng',.  }.}.</cod
│ │ │  001bed90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  001beda0: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  001bedb0: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  001bedc0: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  001bedd0: 3c2f 7461 626c 653e 3c2f 6469 763e 3c64  </table></div><d
│ │ │  001bede0: 6976 2069 643d 2272 6561 722d 6d61 7474  iv id="rear-matt
│ │ │  001bedf0: 6572 223e 3c64 6976 2063 6c61 7373 3d22  er"><div class="
│ │ │ ├── html2text {}
│ │ │ │ @@ -111,31 +111,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.14.2.7, A.15.2.1, A.8.2.3
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-7, PR.DS-1, PR.DS-6, PR.DS-8, PR.IP-1, PR.IP-3
│ │ │ │              _p_c_i_d_s_s         Req-11.5
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000445-GPOS-00199
│ │ │ │              _a_n_s_s_i          R76, R79
│ │ │ │              _p_c_i_d_s_s_4        11.5.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -178,14 +161,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  BBuuiilldd aanndd TTeesstt AAIIDDEE DDaattaabbaassee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Run the following command to generate a new database:
│ │ │ │  $ sudo aideinit
│ │ │ │  By default, the database will be written to the file /var/lib/aide/aide.db.new. Storing the
│ │ │ │  database, the configuration file /etc/aide.conf, and the binary /usr/sbin/aide (or hashes of these
│ │ │ │  files), in a secure location (such as on read-only media) provides additional assurance about their
│ │ │ │  integrity. The newly-generated database can be installed as follows:
│ │ │ │ @@ -558,31 +558,14 @@
│ │ │ │              _d_i_s_a    CCI-002235
│ │ │ │              _i_s_m     1382, 1384, 1386
│ │ │ │              _n_i_s_t    CM-6(a)
│ │ │ │  References: _o_s_p_p    FMT_MOF_EXT.1
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000324-GPOS-00125
│ │ │ │              _a_n_s_s_i   R33
│ │ │ │              _p_c_i_d_s_s_4 2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -623,14 +606,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "sudo"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  VVeerriiffyy GGrroouupp WWhhoo OOwwnnss //eettcc//ssuuddooeerrss..dd DDiirreeccttoorryy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To properly set the group owner of /etc/sudoers.d, run the command:
│ │ │ │  $ sudo chgrp root /etc/sudoers.d
│ │ │ │              The ownership of the /etc/sudoers.d directory by the root group is important because this
│ │ │ │  Rationale:  directory hosts sudo configuration. Protection of this directory is critical for system
│ │ │ │              security. Assigning the ownership to root ensures exclusive control of the sudo
│ │ │ │              configuration.
│ │ │ │ @@ -3107,31 +3107,14 @@
│ │ │ │  Rationale:  password in resisting attempts at guessing and brute-force attacks. "pwquality" enforces
│ │ │ │              complex password construction configuration and has the ability to limit brute-force
│ │ │ │              attacks on the system.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │  References: _d_i_s_a   CCI-000366
│ │ │ │              _o_s_-_s_r_g SRG-OS-000480-GPOS-00225
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3166,14 +3149,31 @@
│ │ │ │  q '^installed'; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-pwquality"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Protect Physical Console Access   Group contains 1 rule
│ │ │ │  _[_r_e_f_]   It is impossible to fully protect a system from an attacker with physical access, so securing
│ │ │ │  the space in which the system is located should be considered a necessary step. However, there are
│ │ │ │  some steps which, if taken, make it more difficult for an attacker to quickly or undetectably modify
│ │ │ │  a system from its console.
│ │ │ │  ****** RRuullee? ?  CCoonnffiigguurree LLooggiinndd ttoo tteerrmmiinnaattee iiddllee sseessssiioonnss aafftteerr cceerrttaaiinn ttiimmee ooff iinnaaccttiivviittyy ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To configure logind service to terminate inactive user sessions after 600 seconds, edit the file /
│ │ │ │ @@ -22481,26 +22481,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │ @@ -22527,33 +22515,33 @@
│ │ │ │  # CAUTION: This remediation script will remove dhcp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on dhcp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "dhcp"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │ -Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │ -            disrupt network operation.
│ │ │ │ -Severity:   medium
│ │ │ │ -Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │ -References: _a_n_s_s_i R62
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_kea
│ │ │ │ +include remove_dhcp
│ │ │ │  
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │ +Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │ +            disrupt network operation.
│ │ │ │ +Severity:   medium
│ │ │ │ +Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │ +References: _a_n_s_s_i R62
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │ @@ -22575,14 +22563,26 @@
│ │ │ │  # CAUTION: This remediation script will remove kea
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on kea. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "kea"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Mail Server Software   Group contains 1 group and 3 rules
│ │ │ │  _[_r_e_f_]   Mail servers are used to send and receive email over the network. Mail is a very common
│ │ │ │  service, and Mail Transfer Agents (MTAs) are obvious targets of network attack. Ensure that systems
│ │ │ │  are not running MTAs unnecessarily, and configure needed MTAs as defensively as possible.
│ │ │ │  
│ │ │ │  Very few systems at any site should be configured to directly receive email over the network. Users
│ │ │ │  should instead use mail client programs to retrieve email from a central server that supports
│ │ │ │ @@ -22757,26 +22757,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227, SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -22823,14 +22811,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "sendmail"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 3 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a network. Computer clocks
│ │ │ │  are not very accurate, so time will drift unpredictably on unmanaged systems. Central time protocols
│ │ │ │  can be used both to ensure that time is consistent among a network of systems, and that their time is
│ │ │ │  consistent with the outside world.
│ │ │ │  
│ │ │ │  If every system on a network reliably reports the same time, then it is much easier to correlate log
│ │ │ │ @@ -23108,26 +23108,14 @@
│ │ │ │                             5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -23178,14 +23166,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "xinetd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   NIS   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Information Service (NIS), also known as 'Yellow Pages' (YP), and its successor
│ │ │ │  NIS+ have been made obsolete by Kerberos, LDAP, and other modern centralized authentication services.
│ │ │ │  NIS should not be used because it suffers from security problems inherent in its design, such as
│ │ │ │  inadequate protection of important authentication information.
│ │ │ │  ****** RRuullee? ?  RReemmoovvee NNIISS CClliieenntt ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The Network Information Service (NIS), formerly known as Yellow Pages, is a client-server directory
│ │ │ │ @@ -23197,26 +23197,14 @@
│ │ │ │              recommended that the service be removed.
│ │ │ │  Severity:   unknown
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_ypbind_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │ @@ -23240,14 +23228,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ypbind-mt
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypbind-mt. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypbind-mt"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll yyppsseerrvv PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ypserv package can be removed with the following command:
│ │ │ │  $ apt-get remove ypserv
│ │ │ │              The NIS service provides an unencrypted authentication service which does not provide for
│ │ │ │  Rationale:  the confidentiality and integrity of user passwords or the remote session. Removing the
│ │ │ │              ypserv package decreases the risk of the accidental (or intentional) activation of NIS or
│ │ │ │              NIS+ services.
│ │ │ │ @@ -23271,26 +23271,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │ @@ -23319,14 +23307,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ypserv
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypserv. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypserv"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Rlogin, Rsh, and Rexec   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Berkeley r-commands are legacy services which allow cleartext remote access and have an
│ │ │ │  insecure trust model.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll rrsshh--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsh-server package can be removed with the following command:
│ │ │ │  $ apt-get remove rsh-server
│ │ │ │              The rsh-server service provides unencrypted remote access service which does not provide
│ │ │ │ @@ -23354,26 +23354,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │ @@ -23401,14 +23389,26 @@
│ │ │ │  # CAUTION: This remediation script will remove rsh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll rrsshh PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsh package contains the client commands for the rsh services
│ │ │ │              These legacy clients contain numerous security exposures and have been replaced with the
│ │ │ │              more secure SSH package. Even if the server is removed, it is best to ensure the clients
│ │ │ │  Rationale:  are also removed to prevent users from inadvertently attempting to use these commands and
│ │ │ │              therefore exposing their credentials. Note that removing the rsh package removes the
│ │ │ │              clients for rsh,rcp, and rlogin.
│ │ │ │ @@ -23416,26 +23416,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsh_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │ @@ -23460,14 +23448,26 @@
│ │ │ │  # CAUTION: This remediation script will remove rsh
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Chat/Messaging Services   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The talk software makes it possible for users to send and receive messages across systems
│ │ │ │  through a terminal session.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttaallkk--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The talk-server package can be removed with the following command:
│ │ │ │   $ apt-get remove talk-server
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols for
│ │ │ │ @@ -23475,26 +23475,14 @@
│ │ │ │              intentional) activation of talk services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk-server_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │ @@ -23518,14 +23506,26 @@
│ │ │ │  # CAUTION: This remediation script will remove talk-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttaallkk PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The talk package contains the client program for the Internet talk protocol, which allows the user
│ │ │ │  to chat with other users on different systems. Talk is a communication program which copies lines
│ │ │ │  from one terminal to the terminal of another user. The talk package can be removed with the
│ │ │ │  following command:
│ │ │ │  $ apt-get remove talk
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols for
│ │ │ │ @@ -23533,26 +23533,14 @@
│ │ │ │              intentional) activation of talk client program.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │ @@ -23576,14 +23564,26 @@
│ │ │ │  # CAUTION: This remediation script will remove talk
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Telnet   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The telnet protocol does not provide confidentiality or integrity for information transmitted
│ │ │ │  on the network. This includes authentication information such as passwords. Organizations which use
│ │ │ │  telnet should be actively working to migrate to a more secure protocol.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tteellnneett--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet-server package can be removed with the following command:
│ │ │ │  $ apt-get remove telnet-server
│ │ │ │ @@ -23617,26 +23617,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │ @@ -23664,39 +23652,39 @@
│ │ │ │  # CAUTION: This remediation script will remove telnet-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  RReemmoovvee tteellnneett CClliieennttss ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet client allows users to start connections to other systems via the telnet protocol.
│ │ │ │              The telnet protocol is insecure and unencrypted. The use of an unencrypted transmission
│ │ │ │  Rationale:  medium could allow an unauthorized user to steal credentials. The ssh package provides an
│ │ │ │              encrypted session and stronger security and is included in Debian 12.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnet_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │ @@ -23721,14 +23709,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnet
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   TFTP Server   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   TFTP is a lightweight version of the FTP protocol which has traditionally been used to
│ │ │ │  configure networking equipment. However, TFTP provides little security, and modern versions of
│ │ │ │  networking operating systems frequently support configuration via SSH or other more secure protocols.
│ │ │ │  A TFTP server should be run only if no more secure method of supporting existing equipment can be
│ │ │ │  found.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttffttpp--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ @@ -23758,26 +23758,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │ @@ -23804,39 +23792,39 @@
│ │ │ │  # CAUTION: This remediation script will remove tftp-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  RReemmoovvee ttffttpp DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Trivial File Transfer Protocol (TFTP) is a simple file transfer protocol, typically used to
│ │ │ │  automatically transfer configuration or boot files between systems. TFTP does not support
│ │ │ │  authentication and can be easily hacked. The package tftp is a client program that allows for
│ │ │ │  connections to a tftp server.
│ │ │ │  Rationale:  It is recommended that TFTP be removed, unless there is a specific need for TFTP (such as
│ │ │ │              a boot server). In that case, use extreme caution when configuring the services.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_tftp_removed
│ │ │ │              _d_i_s_a    CCI-000197
│ │ │ │  References: _o_s_-_s_r_g  SRG-OS-000074-GPOS-00042
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │ @@ -23860,14 +23848,26 @@
│ │ │ │  # CAUTION: This remediation script will remove tftp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 10 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file transfer. SSH provides
│ │ │ │  confidentiality and integrity for data exchanged between two systems, as well as server
│ │ │ │  authentication, through the use of public key cryptography. The implementation included with the
│ │ │ │  system is called OpenSSH, and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM package openssh-server.
│ │ │ │  Group   Configure OpenSSH Server if Necessary   Group contains 1 rule
│ │ │ │ @@ -24611,23 +24611,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -24711,14 +24702,23 @@
│ │ │ │          echo "Key-like file '$keyfile' is owned by an unexpected user:group combination"
│ │ │ │      fi
│ │ │ │  done
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  VVeerriiffyy PPeerrmmiissssiioonnss oonn SSSSHH SSeerrvveerr PPuubblliicc **..ppuubb KKeeyy FFiilleess ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  To properly set the permissions of /etc/ssh/*.pub, run the command:
│ │ │ │  $ sudo chmod 0644 /etc/ssh/*.pub
│ │ │ │  Warning:  Remediation is not possible at bootable container build time because SSH host keys are
│ │ │ │  generated post-deployment.
│ │ │ │  Rationale:  If a public host key file is modified by an unauthorized user, the SSH service may be
│ │ │ │              compromised.
│ │ │ │ @@ -24738,23 +24738,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -24833,14 +24824,23 @@
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex
│ │ │ │  '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   System Accounting with auditd   Group contains 2 groups and 3 rules
│ │ │ │  _[_r_e_f_]   The audit service provides substantial capabilities for recording system activities. By
│ │ │ │  default, the service audits about SELinux AVC denials and certain types of security-relevant events
│ │ │ │  such as system logins, account modifications, and authentication events performed by programs such as
│ │ │ │  sudo. Under its default configuration, auditd has modest disk space requirements, and should not
│ │ │ │  noticeably impact system performance.
│ │ │ │  
│ │ │ │ @@ -25330,31 +25330,14 @@
│ │ │ │              _o_s_-_s_r_g   SRG-OS-000122-GPOS-00063, SRG-OS-000254-GPOS-00095, SRG-OS-000255-GPOS-00096,
│ │ │ │                       SRG-OS-000337-GPOS-00129, SRG-OS-000348-GPOS-00136, SRG-OS-000349-GPOS-00137,
│ │ │ │                       SRG-OS-000350-GPOS-00138, SRG-OS-000351-GPOS-00139, SRG-OS-000352-GPOS-00140,
│ │ │ │                       SRG-OS-000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-000358-GPOS-00145,
│ │ │ │                       SRG-OS-000365-GPOS-00152, SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -25409,14 +25392,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing System, as it is
│ │ │ │  responsible for writing audit records to disk. The auditd service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be difficult to establish,
│ │ │ │              correlate, and investigate the events leading up to an outage or attack. Ensuring the
│ │ │ │ @@ -25466,31 +25466,14 @@
│ │ │ │                             GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-000353-GPOS-00141, SRG-OS-
│ │ │ │                             000354-GPOS-00142, SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-000990, SRG-APP-000508-CTR-
│ │ │ │                             001300, SRG-APP-000510-CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -25556,11 +25539,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_bp28_minimal.html
│ │ │ @@ -22804,181 +22804,181 @@
│ │ │  00059130: 6574 3d22 2369 646d 3433 3730 2220 7461  et="#idm4370" ta
│ │ │  00059140: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00059150: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00059160: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  00059170: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  00059180: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00059190: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000591a0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -000591b0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000591c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000591d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000591e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000591f0: 6d34 3337 3022 3e3c 7072 653e 3c63 6f64  m4370"><pre><cod
│ │ │ -00059200: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ -00059210: 6e61 6d65 203d 2022 6c69 6270 616d 2d70  name = "libpam-p
│ │ │ -00059220: 7771 7561 6c69 7479 220a 7665 7273 696f  wquality".versio
│ │ │ -00059230: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ -00059240: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00059250: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00059260: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00059270: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00059280: 612d 7461 7267 6574 3d22 2369 646d 3433  a-target="#idm43
│ │ │ -00059290: 3731 2220 7461 6269 6e64 6578 3d22 3022  71" tabindex="0"
│ │ │ -000592a0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -000592b0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -000592c0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -000592d0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -000592e0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -000592f0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00059300: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00059310: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00059320: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00059330: 7073 6522 2069 643d 2269 646d 3433 3731  pse" id="idm4371
│ │ │ -00059340: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00059350: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00059360: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00059370: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00059380: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00059390: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000593a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000593b0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000593c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000593d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000593e0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000593f0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00059400: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00059410: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00059420: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00059430: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00059440: 6520 696e 7374 616c 6c5f 6c69 6270 616d  e install_libpam
│ │ │ -00059450: 2d70 7771 7561 6c69 7479 0a0a 636c 6173  -pwquality..clas
│ │ │ -00059460: 7320 696e 7374 616c 6c5f 6c69 6270 616d  s install_libpam
│ │ │ -00059470: 2d70 7771 7561 6c69 7479 207b 0a20 2070  -pwquality {.  p
│ │ │ -00059480: 6163 6b61 6765 207b 2027 6c69 6270 616d  ackage { 'libpam
│ │ │ -00059490: 2d70 7771 7561 6c69 7479 273a 0a20 2020  -pwquality':.   
│ │ │ -000594a0: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -000594b0: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -000594c0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -000594d0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -000594e0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -000594f0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00059500: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00059510: 743d 2223 6964 6d34 3337 3222 2074 6162  t="#idm4372" tab
│ │ │ -00059520: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00059530: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00059540: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00059550: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00059560: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00059570: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00059580: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00059590: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000595a0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000595b0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -000595c0: 643d 2269 646d 3433 3732 223e 3c74 6162  d="idm4372"><tab
│ │ │ -000595d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000595e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000595f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00059600: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00059610: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00059620: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00059630: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00059640: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00059650: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00059660: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00059670: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00059680: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00059690: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000596a0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -000596b0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000596c0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -000596d0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -000596e0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -000596f0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -00059700: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -00059710: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -00059720: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00059730: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00059740: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -00059750: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -00059760: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -00059770: 6564 0a20 202d 2070 6163 6b61 6765 5f70  ed.  - package_p
│ │ │ -00059780: 616d 5f70 7771 7561 6c69 7479 5f69 6e73  am_pwquality_ins
│ │ │ -00059790: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -000597a0: 456e 7375 7265 206c 6962 7061 6d2d 7077  Ensure libpam-pw
│ │ │ -000597b0: 7175 616c 6974 7920 6973 2069 6e73 7461  quality is insta
│ │ │ -000597c0: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ -000597d0: 2020 2020 6e61 6d65 3a20 6c69 6270 616d      name: libpam
│ │ │ -000597e0: 2d70 7771 7561 6c69 7479 0a20 2020 2073  -pwquality.    s
│ │ │ -000597f0: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -00059800: 7768 656e 3a20 2722 6c69 6270 616d 2d72  when: '"libpam-r
│ │ │ -00059810: 756e 7469 6d65 2220 696e 2061 6e73 6962  untime" in ansib
│ │ │ -00059820: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -00059830: 7327 0a20 2074 6167 733a 0a20 202d 2065  s'.  tags:.  - e
│ │ │ -00059840: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00059850: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00059860: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00059870: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00059880: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00059890: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000598a0: 2d20 7061 636b 6167 655f 7061 6d5f 7077  - package_pam_pw
│ │ │ -000598b0: 7175 616c 6974 795f 696e 7374 616c 6c65  quality_installe
│ │ │ -000598c0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -000598d0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -000598e0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -000598f0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00059900: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00059910: 6574 3d22 2369 646d 3433 3733 2220 7461  et="#idm4373" ta
│ │ │ -00059920: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00059930: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00059940: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00059950: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00059960: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00059970: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00059980: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -00059990: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000599a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000599b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000599c0: 2269 646d 3433 3733 223e 3c74 6162 6c65  "idm4373"><table
│ │ │ -000599d0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -000599e0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -000599f0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00059a00: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00059a10: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00059a20: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00059a30: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00059a40: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00059a50: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00059a60: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00059a70: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00059a80: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00059a90: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -00059aa0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -00059ab0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00059ac0: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ -00059ad0: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ -00059ae0: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ -00059af0: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ -00059b00: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ -00059b10: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ -00059b20: 5374 6174 7573 2d53 7461 7475 737d 5c6e  Status-Status}\n
│ │ │ -00059b30: 2720 276c 6962 7061 6d2d 7275 6e74 696d  ' 'libpam-runtim
│ │ │ -00059b40: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ -00059b50: 6c20 7c20 6772 6570 202d 7120 275e 696e  l | grep -q '^in
│ │ │ -00059b60: 7374 616c 6c65 6427 3b20 7468 656e 0a0a  stalled'; then..
│ │ │ -00059b70: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -00059b80: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -00059b90: 7074 2d67 6574 2069 6e73 7461 6c6c 202d  pt-get install -
│ │ │ -00059ba0: 7920 226c 6962 7061 6d2d 7077 7175 616c  y "libpam-pwqual
│ │ │ -00059bb0: 6974 7922 0a0a 656c 7365 0a20 2020 2026  ity"..else.    &
│ │ │ -00059bc0: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ -00059bd0: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ -00059be0: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ -00059bf0: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ -00059c00: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +000591a0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +000591b0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000591c0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000591d0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000591e0: 6964 3d22 6964 6d34 3337 3022 3e3c 7461  id="idm4370"><ta
│ │ │ +000591f0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00059200: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00059210: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00059220: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00059230: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00059240: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00059250: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00059260: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00059270: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00059280: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00059290: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000592a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000592b0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000592c0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +000592d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +000592e0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +000592f0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00059300: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +00059310: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +00059320: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +00059330: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00059340: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00059350: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00059360: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00059370: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00059380: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00059390: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +000593a0: 7061 6d5f 7077 7175 616c 6974 795f 696e  pam_pwquality_in
│ │ │ +000593b0: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +000593c0: 2045 6e73 7572 6520 6c69 6270 616d 2d70   Ensure libpam-p
│ │ │ +000593d0: 7771 7561 6c69 7479 2069 7320 696e 7374  wquality is inst
│ │ │ +000593e0: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +000593f0: 0a20 2020 206e 616d 653a 206c 6962 7061  .    name: libpa
│ │ │ +00059400: 6d2d 7077 7175 616c 6974 790a 2020 2020  m-pwquality.    
│ │ │ +00059410: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +00059420: 2077 6865 6e3a 2027 226c 6962 7061 6d2d   when: '"libpam-
│ │ │ +00059430: 7275 6e74 696d 6522 2069 6e20 616e 7369  runtime" in ansi
│ │ │ +00059440: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00059450: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +00059460: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00059470: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00059480: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00059490: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +000594a0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +000594b0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000594c0: 202d 2070 6163 6b61 6765 5f70 616d 5f70   - package_pam_p
│ │ │ +000594d0: 7771 7561 6c69 7479 5f69 6e73 7461 6c6c  wquality_install
│ │ │ +000594e0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +000594f0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00059500: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00059510: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00059520: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00059530: 6765 743d 2223 6964 6d34 3337 3122 2074  get="#idm4371" t
│ │ │ +00059540: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00059550: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00059560: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00059570: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00059580: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00059590: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +000595a0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +000595b0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000595c0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000595d0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +000595e0: 3d22 6964 6d34 3337 3122 3e3c 7461 626c  ="idm4371"><tabl
│ │ │ +000595f0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00059600: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00059610: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00059620: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00059630: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00059640: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00059650: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00059660: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00059670: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00059680: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00059690: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +000596a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000596b0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +000596c0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +000596d0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000596e0: 6465 3e23 2052 656d 6564 6961 7469 6f6e  de># Remediation
│ │ │ +000596f0: 2069 7320 6170 706c 6963 6162 6c65 206f   is applicable o
│ │ │ +00059700: 6e6c 7920 696e 2063 6572 7461 696e 2070  nly in certain p
│ │ │ +00059710: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67  latforms.if dpkg
│ │ │ +00059720: 2d71 7565 7279 202d 2d73 686f 7720 2d2d  -query --show --
│ │ │ +00059730: 7368 6f77 666f 726d 6174 3d27 247b 6462  showformat='${db
│ │ │ +00059740: 3a53 7461 7475 732d 5374 6174 7573 7d5c  :Status-Status}\
│ │ │ +00059750: 6e27 2027 6c69 6270 616d 2d72 756e 7469  n' 'libpam-runti
│ │ │ +00059760: 6d65 2720 3226 6774 3b2f 6465 762f 6e75  me' 2&gt;/dev/nu
│ │ │ +00059770: 6c6c 207c 2067 7265 7020 2d71 2027 5e69  ll | grep -q '^i
│ │ │ +00059780: 6e73 7461 6c6c 6564 273b 2074 6865 6e0a  nstalled'; then.
│ │ │ +00059790: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +000597a0: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +000597b0: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ +000597c0: 2d79 2022 6c69 6270 616d 2d70 7771 7561  -y "libpam-pwqua
│ │ │ +000597d0: 6c69 7479 220a 0a65 6c73 650a 2020 2020  lity"..else.    
│ │ │ +000597e0: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ +000597f0: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ +00059800: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ +00059810: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ +00059820: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +00059830: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00059840: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00059850: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00059860: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00059870: 6172 6765 743d 2223 6964 6d34 3337 3222  arget="#idm4372"
│ │ │ +00059880: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00059890: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +000598a0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +000598b0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +000598c0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +000598d0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +000598e0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +000598f0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +00059900: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00059910: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00059920: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00059930: 2269 646d 3433 3732 223e 3c70 7265 3e3c  "idm4372"><pre><
│ │ │ +00059940: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ +00059950: 5d5d 0a6e 616d 6520 3d20 226c 6962 7061  ]].name = "libpa
│ │ │ +00059960: 6d2d 7077 7175 616c 6974 7922 0a76 6572  m-pwquality".ver
│ │ │ +00059970: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ +00059980: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00059990: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +000599a0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +000599b0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +000599c0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +000599d0: 6d34 3337 3322 2074 6162 696e 6465 783d  m4373" tabindex=
│ │ │ +000599e0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +000599f0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00059a00: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00059a10: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00059a20: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00059a30: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00059a40: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00059a50: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00059a60: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00059a70: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ +00059a80: 3337 3322 3e3c 7461 626c 6520 636c 6173  373"><table clas
│ │ │ +00059a90: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00059aa0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00059ab0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00059ac0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00059ad0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00059ae0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00059af0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00059b00: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00059b10: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00059b20: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00059b30: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00059b40: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00059b50: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00059b60: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00059b70: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00059b80: 6c75 6465 2069 6e73 7461 6c6c 5f6c 6962  lude install_lib
│ │ │ +00059b90: 7061 6d2d 7077 7175 616c 6974 790a 0a63  pam-pwquality..c
│ │ │ +00059ba0: 6c61 7373 2069 6e73 7461 6c6c 5f6c 6962  lass install_lib
│ │ │ +00059bb0: 7061 6d2d 7077 7175 616c 6974 7920 7b0a  pam-pwquality {.
│ │ │ +00059bc0: 2020 7061 636b 6167 6520 7b20 276c 6962    package { 'lib
│ │ │ +00059bd0: 7061 6d2d 7077 7175 616c 6974 7927 3a0a  pam-pwquality':.
│ │ │ +00059be0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00059bf0: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ +00059c00: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00059c10: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  00059c20: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  00059c30: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  00059c40: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  00059c50: 2263 6869 6c64 7265 6e2d 7863 6364 665f  "children-xccdf_
│ │ │  00059c60: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  00059c70: 6f6e 7465 6e74 5f67 726f 7570 5f61 6363  ontent_group_acc
│ │ │ @@ -26499,142 +26499,142 @@
│ │ │  00067820: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00067830: 3230 3034 3522 2074 6162 696e 6465 783d  20045" tabindex=
│ │ │  00067840: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  00067850: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  00067860: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  00067870: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  00067880: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00067890: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -000678a0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -000678b0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -000678c0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -000678d0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -000678e0: 3030 3435 223e 3c74 6162 6c65 2063 6c61  0045"><table cla
│ │ │ -000678f0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00067900: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00067910: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00067920: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00067930: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00067940: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00067950: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00067960: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00067970: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00067980: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00067990: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -000679a0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -000679b0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -000679c0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -000679d0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -000679e0: 6e63 6c75 6465 2072 656d 6f76 655f 6468  nclude remove_dh
│ │ │ -000679f0: 6370 0a0a 636c 6173 7320 7265 6d6f 7665  cp..class remove
│ │ │ -00067a00: 5f64 6863 7020 7b0a 2020 7061 636b 6167  _dhcp {.  packag
│ │ │ -00067a10: 6520 7b20 2764 6863 7027 3a0a 2020 2020  e { 'dhcp':.    
│ │ │ -00067a20: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -00067a30: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -00067a40: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00067a50: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00067a60: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00067a70: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00067a80: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00067a90: 6964 6d32 3030 3436 2220 7461 6269 6e64  idm20046" tabind
│ │ │ -00067aa0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00067ab0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00067ac0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00067ad0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00067ae0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00067af0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -00067b00: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -00067b10: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00067b20: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00067b30: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00067b40: 6964 6d32 3030 3436 223e 3c74 6162 6c65  idm20046"><table
│ │ │ -00067b50: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00067b60: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00067b70: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00067b80: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00067b90: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00067ba0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00067bb0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00067bc0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00067bd0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00067be0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00067bf0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00067c00: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00067c10: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00067c20: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00067c30: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00067c40: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ -00067c50: 6520 6468 6370 2069 7320 7265 6d6f 7665  e dhcp is remove
│ │ │ -00067c60: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00067c70: 206e 616d 653a 2064 6863 700a 2020 2020   name: dhcp.    
│ │ │ -00067c80: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -00067c90: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00067ca0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00067cb0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00067cc0: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -00067cd0: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -00067ce0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00067cf0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00067d00: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ -00067d10: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00067d20: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00067d30: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00067d40: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00067d50: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00067d60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00067d70: 6167 655f 6468 6370 5f72 656d 6f76 6564  age_dhcp_removed
│ │ │ -00067d80: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00067d90: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00067da0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00067db0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00067dc0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00067dd0: 743d 2223 6964 6d32 3030 3437 2220 7461  t="#idm20047" ta
│ │ │ -00067de0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00067df0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00067e00: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00067e10: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00067e20: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00067e30: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00067e40: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -00067e50: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00067e60: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00067e70: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00067e80: 2269 646d 3230 3034 3722 3e3c 7461 626c  "idm20047"><tabl
│ │ │ -00067e90: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00067ea0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00067eb0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00067ec0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00067ed0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00067ee0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00067ef0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00067f00: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00067f10: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00067f20: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00067f30: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00067f40: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00067f50: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00067f60: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00067f70: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00067f80: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -00067f90: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -00067fa0: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -00067fb0: 6f76 6520 6468 6370 0a23 0920 2020 6672  ove dhcp.#.   fr
│ │ │ -00067fc0: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ -00067fd0: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ -00067fe0: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ -00067ff0: 7468 6174 2064 6570 656e 6420 6f6e 2064  that depend on d
│ │ │ -00068000: 6863 702e 2045 7865 6375 7465 2074 6869  hcp. Execute thi
│ │ │ -00068010: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ -00068020: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ -00068030: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ -00068040: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ -00068050: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ -00068060: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -00068070: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ -00068080: 202d 7920 2264 6863 7022 0a3c 2f63 6f64   -y "dhcp".</cod
│ │ │ +00067890: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +000678a0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000678b0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000678c0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +000678d0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +000678e0: 3230 3034 3522 3e3c 7461 626c 6520 636c  20045"><table cl
│ │ │ +000678f0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00067900: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00067910: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00067920: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00067930: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00067940: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00067950: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00067960: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00067970: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00067980: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00067990: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000679a0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000679b0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +000679c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000679d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000679e0: 2d20 6e61 6d65 3a20 456e 7375 7265 2064  - name: Ensure d
│ │ │ +000679f0: 6863 7020 6973 2072 656d 6f76 6564 0a20  hcp is removed. 
│ │ │ +00067a00: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00067a10: 6d65 3a20 6468 6370 0a20 2020 2073 7461  me: dhcp.    sta
│ │ │ +00067a20: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00067a30: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00067a40: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +00067a50: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +00067a60: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00067a70: 3533 2d43 4d2d 3728 6229 0a20 202d 2050  53-CM-7(b).  - P
│ │ │ +00067a80: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +00067a90: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ +00067aa0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00067ab0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00067ac0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00067ad0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00067ae0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00067af0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00067b00: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00067b10: 5f64 6863 705f 7265 6d6f 7665 640a 3c2f  _dhcp_removed.</
│ │ │ +00067b20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00067b30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00067b40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00067b50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00067b60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00067b70: 2369 646d 3230 3034 3622 2074 6162 696e  #idm20046" tabin
│ │ │ +00067b80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00067b90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00067ba0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00067bb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00067bc0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00067bd0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +00067be0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +00067bf0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00067c00: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00067c10: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00067c20: 6d32 3030 3436 223e 3c74 6162 6c65 2063  m20046"><table c
│ │ │ +00067c30: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00067c40: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00067c50: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00067c60: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00067c70: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00067c80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00067c90: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00067ca0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00067cb0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00067cc0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00067cd0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00067ce0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00067cf0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00067d00: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00067d10: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00067d20: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ +00067d30: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +00067d40: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +00067d50: 2064 6863 700a 2309 2020 2066 726f 6d20   dhcp.#.   from 
│ │ │ +00067d60: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ +00067d70: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ +00067d80: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ +00067d90: 7420 6465 7065 6e64 206f 6e20 6468 6370  t depend on dhcp
│ │ │ +00067da0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00067db0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00067dc0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +00067dd0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +00067de0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +00067df0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00067e00: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00067e10: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00067e20: 2022 6468 6370 220a 3c2f 636f 6465 3e3c   "dhcp".</code><
│ │ │ +00067e30: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00067e40: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00067e50: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00067e60: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00067e70: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ +00067e80: 3034 3722 2074 6162 696e 6465 783d 2230  047" tabindex="0
│ │ │ +00067e90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00067ea0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00067eb0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00067ec0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00067ed0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00067ee0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00067ef0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00067f00: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00067f10: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00067f20: 6170 7365 2220 6964 3d22 6964 6d32 3030  apse" id="idm200
│ │ │ +00067f30: 3437 223e 3c74 6162 6c65 2063 6c61 7373  47"><table class
│ │ │ +00067f40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00067f50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00067f60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00067f70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00067f80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00067f90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00067fa0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00067fb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00067fc0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00067fd0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00067fe0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00067ff0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00068000: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00068010: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00068020: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00068030: 6c75 6465 2072 656d 6f76 655f 6468 6370  lude remove_dhcp
│ │ │ +00068040: 0a0a 636c 6173 7320 7265 6d6f 7665 5f64  ..class remove_d
│ │ │ +00068050: 6863 7020 7b0a 2020 7061 636b 6167 6520  hcp {.  package 
│ │ │ +00068060: 7b20 2764 6863 7027 3a0a 2020 2020 656e  { 'dhcp':.    en
│ │ │ +00068070: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +00068080: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  00068090: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  000680a0: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  000680b0: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  000680c0: 7464 3e3c 2f74 723e 3c74 7220 6461 7461  td></tr><tr data
│ │ │  000680d0: 2d74 742d 6964 3d22 7863 6364 665f 6f72  -tt-id="xccdf_or
│ │ │  000680e0: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  000680f0: 7465 6e74 5f72 756c 655f 7061 636b 6167  tent_rule_packag
│ │ │ @@ -26752,135 +26752,135 @@
│ │ │  000687f0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  00068800: 3030 3537 2220 7461 6269 6e64 6578 3d22  0057" tabindex="
│ │ │  00068810: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00068820: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00068830: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00068840: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00068850: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00068860: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00068870: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00068880: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00068890: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000688a0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ -000688b0: 3035 3722 3e3c 7461 626c 6520 636c 6173  057"><table clas
│ │ │ -000688c0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -000688d0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -000688e0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -000688f0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00068900: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00068910: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00068920: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00068930: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00068940: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00068950: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00068960: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00068970: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00068980: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00068990: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000689a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000689b0: 636c 7564 6520 7265 6d6f 7665 5f6b 6561  clude remove_kea
│ │ │ -000689c0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6b  ..class remove_k
│ │ │ -000689d0: 6561 207b 0a20 2070 6163 6b61 6765 207b  ea {.  package {
│ │ │ -000689e0: 2027 6b65 6127 3a0a 2020 2020 656e 7375   'kea':.    ensu
│ │ │ -000689f0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00068a00: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00068a10: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00068a20: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00068a30: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00068a40: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00068a50: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00068a60: 3030 3538 2220 7461 6269 6e64 6578 3d22  0058" tabindex="
│ │ │ -00068a70: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00068a80: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00068a90: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00068aa0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00068ab0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00068ac0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00068ad0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00068ae0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00068af0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00068b00: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00068b10: 3030 3538 223e 3c74 6162 6c65 2063 6c61  0058"><table cla
│ │ │ -00068b20: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00068b30: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00068b40: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00068b50: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00068b60: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00068b70: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00068b80: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00068b90: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00068ba0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00068bb0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00068bc0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00068bd0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00068be0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00068bf0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00068c00: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00068c10: 206e 616d 653a 2045 6e73 7572 6520 6b65   name: Ensure ke
│ │ │ -00068c20: 6120 6973 2072 656d 6f76 6564 0a20 2070  a is removed.  p
│ │ │ -00068c30: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00068c40: 3a20 6b65 610a 2020 2020 7374 6174 653a  : kea.    state:
│ │ │ -00068c50: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -00068c60: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00068c70: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00068c80: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00068c90: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00068ca0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00068cb0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00068cc0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00068cd0: 6b65 615f 7265 6d6f 7665 640a 3c2f 636f  kea_removed.</co
│ │ │ -00068ce0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00068cf0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00068d00: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00068d10: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00068d20: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00068d30: 646d 3230 3035 3922 2074 6162 696e 6465  dm20059" tabinde
│ │ │ -00068d40: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00068d50: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00068d60: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00068d70: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00068d80: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00068d90: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -00068da0: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -00068db0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00068dc0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00068dd0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00068de0: 3030 3539 223e 3c74 6162 6c65 2063 6c61  0059"><table cla
│ │ │ -00068df0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00068e00: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00068e10: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00068e20: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00068e30: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00068e40: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00068e50: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00068e60: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00068e70: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00068e80: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00068e90: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00068ea0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00068eb0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00068ec0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00068ed0: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ -00068ee0: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ -00068ef0: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ -00068f00: 7074 2077 696c 6c20 7265 6d6f 7665 206b  pt will remove k
│ │ │ -00068f10: 6561 0a23 0920 2020 6672 6f6d 2074 6865  ea.#.   from the
│ │ │ -00068f20: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -00068f30: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -00068f40: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -00068f50: 6570 656e 6420 6f6e 206b 6561 2e20 4578  epend on kea. Ex
│ │ │ -00068f60: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ -00068f70: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ -00068f80: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ -00068f90: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ -00068fa0: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ -00068fb0: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -00068fc0: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -00068fd0: 6574 2072 656d 6f76 6520 2d79 2022 6b65  et remove -y "ke
│ │ │ -00068fe0: 6122 0a3c 2f63 6f64 653e 3c2f 7072 653e  a".</code></pre>
│ │ │ +00068860: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00068870: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00068880: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00068890: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000688a0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +000688b0: 3030 3537 223e 3c74 6162 6c65 2063 6c61  0057"><table cla
│ │ │ +000688c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000688d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000688e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000688f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00068900: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00068910: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00068920: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00068930: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00068940: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00068950: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00068960: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00068970: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00068980: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +00068990: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000689a0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +000689b0: 206e 616d 653a 2045 6e73 7572 6520 6b65   name: Ensure ke
│ │ │ +000689c0: 6120 6973 2072 656d 6f76 6564 0a20 2070  a is removed.  p
│ │ │ +000689d0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +000689e0: 3a20 6b65 610a 2020 2020 7374 6174 653a  : kea.    state:
│ │ │ +000689f0: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +00068a00: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00068a10: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00068a20: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00068a30: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00068a40: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00068a50: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00068a60: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00068a70: 6b65 615f 7265 6d6f 7665 640a 3c2f 636f  kea_removed.</co
│ │ │ +00068a80: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00068a90: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00068aa0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00068ab0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00068ac0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00068ad0: 646d 3230 3035 3822 2074 6162 696e 6465  dm20058" tabinde
│ │ │ +00068ae0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00068af0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00068b00: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00068b10: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00068b20: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00068b30: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ +00068b40: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ +00068b50: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00068b60: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00068b70: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +00068b80: 3030 3538 223e 3c74 6162 6c65 2063 6c61  0058"><table cla
│ │ │ +00068b90: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00068ba0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00068bb0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00068bc0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00068bd0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00068be0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00068bf0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00068c00: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00068c10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00068c20: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00068c30: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00068c40: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00068c50: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +00068c60: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00068c70: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ +00068c80: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ +00068c90: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ +00068ca0: 7074 2077 696c 6c20 7265 6d6f 7665 206b  pt will remove k
│ │ │ +00068cb0: 6561 0a23 0920 2020 6672 6f6d 2074 6865  ea.#.   from the
│ │ │ +00068cc0: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +00068cd0: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +00068ce0: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +00068cf0: 6570 656e 6420 6f6e 206b 6561 2e20 4578  epend on kea. Ex
│ │ │ +00068d00: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ +00068d10: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ +00068d20: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ +00068d30: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ +00068d40: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ +00068d50: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +00068d60: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +00068d70: 6574 2072 656d 6f76 6520 2d79 2022 6b65  et remove -y "ke
│ │ │ +00068d80: 6122 0a3c 2f63 6f64 653e 3c2f 7072 653e  a".</code></pre>
│ │ │ +00068d90: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00068da0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00068db0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00068dc0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00068dd0: 6765 743d 2223 6964 6d32 3030 3539 2220  get="#idm20059" 
│ │ │ +00068de0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00068df0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00068e00: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00068e10: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00068e20: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00068e30: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00068e40: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00068e50: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00068e60: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00068e70: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00068e80: 2069 643d 2269 646d 3230 3035 3922 3e3c   id="idm20059"><
│ │ │ +00068e90: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00068ea0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00068eb0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00068ec0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00068ed0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00068ee0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00068ef0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00068f00: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00068f10: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00068f20: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00068f30: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00068f40: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00068f50: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00068f60: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00068f70: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00068f80: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00068f90: 7265 6d6f 7665 5f6b 6561 0a0a 636c 6173  remove_kea..clas
│ │ │ +00068fa0: 7320 7265 6d6f 7665 5f6b 6561 207b 0a20  s remove_kea {. 
│ │ │ +00068fb0: 2070 6163 6b61 6765 207b 2027 6b65 6127   package { 'kea'
│ │ │ +00068fc0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00068fd0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +00068fe0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  00068ff0: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  00069000: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  00069010: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  00069020: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  00069030: 6368 696c 6472 656e 2d78 6363 6466 5f6f  children-xccdf_o
│ │ │  00069040: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  00069050: 6e74 656e 745f 6772 6f75 705f 6d61 696c  ntent_group_mail
│ │ │ @@ -27248,178 +27248,178 @@
│ │ │  0006a6f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0006a700: 6964 6d32 3032 3136 2220 7461 6269 6e64  idm20216" tabind
│ │ │  0006a710: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  0006a720: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  0006a730: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  0006a740: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  0006a750: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0006a760: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0006a770: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0006a780: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0006a790: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0006a7a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0006a7b0: 646d 3230 3231 3622 3e3c 7461 626c 6520  dm20216"><table 
│ │ │ -0006a7c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0006a7d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0006a7e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0006a7f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0006a800: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0006a810: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006a820: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0006a830: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0006a840: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0006a850: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0006a860: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0006a870: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0006a880: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0006a890: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0006a8a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0006a8b0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -0006a8c0: 5f73 656e 646d 6169 6c0a 0a63 6c61 7373  _sendmail..class
│ │ │ -0006a8d0: 2072 656d 6f76 655f 7365 6e64 6d61 696c   remove_sendmail
│ │ │ -0006a8e0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -0006a8f0: 7365 6e64 6d61 696c 273a 0a20 2020 2065  sendmail':.    e
│ │ │ -0006a900: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -0006a910: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -0006a920: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0006a930: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0006a940: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0006a950: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0006a960: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0006a970: 646d 3230 3231 3722 2074 6162 696e 6465  dm20217" tabinde
│ │ │ -0006a980: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0006a990: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0006a9a0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0006a9b0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0006a9c0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0006a9d0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0006a9e0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0006a9f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0006aa00: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0006aa10: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0006aa20: 646d 3230 3231 3722 3e3c 7461 626c 6520  dm20217"><table 
│ │ │ -0006aa30: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0006aa40: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0006aa50: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0006aa60: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0006aa70: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0006aa80: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006aa90: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0006aaa0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0006aab0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0006aac0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0006aad0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0006aae0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0006aaf0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0006ab00: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0006ab10: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0006ab20: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ -0006ab30: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -0006ab40: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ -0006ab50: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ -0006ab60: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ -0006ab70: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0006ab80: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -0006ab90: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -0006aba0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0006abb0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -0006abc0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0006abd0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0006abe0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0006abf0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0006ac00: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0006ac10: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0006ac20: 636b 6167 655f 7365 6e64 6d61 696c 5f72  ckage_sendmail_r
│ │ │ -0006ac30: 656d 6f76 6564 0a0a 2d20 6e61 6d65 3a20  emoved..- name: 
│ │ │ -0006ac40: 456e 7375 7265 2073 656e 646d 6169 6c20  Ensure sendmail 
│ │ │ -0006ac50: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -0006ac60: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0006ac70: 7365 6e64 6d61 696c 0a20 2020 2073 7461  sendmail.    sta
│ │ │ -0006ac80: 7465 3a20 6162 7365 6e74 0a20 2077 6865  te: absent.  whe
│ │ │ -0006ac90: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -0006aca0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -0006acb0: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -0006acc0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0006acd0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -0006ace0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -0006acf0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -0006ad00: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ -0006ad10: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -0006ad20: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0006ad30: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0006ad40: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -0006ad50: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -0006ad60: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0006ad70: 2020 2d20 7061 636b 6167 655f 7365 6e64    - package_send
│ │ │ -0006ad80: 6d61 696c 5f72 656d 6f76 6564 0a3c 2f63  mail_removed.</c
│ │ │ -0006ad90: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0006ada0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0006adb0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0006adc0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0006add0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0006ade0: 6964 6d32 3032 3138 2220 7461 6269 6e64  idm20218" tabind
│ │ │ -0006adf0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0006ae00: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0006ae10: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0006ae20: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0006ae30: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0006ae40: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -0006ae50: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -0006ae60: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0006ae70: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0006ae80: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0006ae90: 3230 3231 3822 3e3c 7461 626c 6520 636c  20218"><table cl
│ │ │ -0006aea0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0006aeb0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0006aec0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0006aed0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0006aee0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0006aef0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0006af00: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0006af10: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0006af20: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006af30: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0006af40: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0006af50: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0006af60: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0006af70: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0006af80: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0006af90: 2320 5265 6d65 6469 6174 696f 6e20 6973  # Remediation is
│ │ │ -0006afa0: 2061 7070 6c69 6361 626c 6520 6f6e 6c79   applicable only
│ │ │ -0006afb0: 2069 6e20 6365 7274 6169 6e20 706c 6174   in certain plat
│ │ │ -0006afc0: 666f 726d 730a 6966 2064 706b 672d 7175  forms.if dpkg-qu
│ │ │ -0006afd0: 6572 7920 2d2d 7368 6f77 202d 2d73 686f  ery --show --sho
│ │ │ -0006afe0: 7766 6f72 6d61 743d 2724 7b64 623a 5374  wformat='${db:St
│ │ │ -0006aff0: 6174 7573 2d53 7461 7475 737d 0a27 2027  atus-Status}.' '
│ │ │ -0006b000: 6c69 6e75 782d 6261 7365 2720 3226 6774  linux-base' 2&gt
│ │ │ -0006b010: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265  ;/dev/null | gre
│ │ │ -0006b020: 7020 2d71 205e 696e 7374 616c 6c65 643b  p -q ^installed;
│ │ │ -0006b030: 2074 6865 6e0a 0a23 2043 4155 5449 4f4e   then..# CAUTION
│ │ │ -0006b040: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ -0006b050: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ -0006b060: 656d 6f76 6520 7365 6e64 6d61 696c 0a23  emove sendmail.#
│ │ │ -0006b070: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -0006b080: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -0006b090: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -0006b0a0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -0006b0b0: 6420 6f6e 2073 656e 646d 6169 6c2e 2045  d on sendmail. E
│ │ │ -0006b0c0: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -0006b0d0: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -0006b0e0: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -0006b0f0: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -0006b100: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -0006b110: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -0006b120: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -0006b130: 6765 7420 7265 6d6f 7665 202d 7920 2273  get remove -y "s
│ │ │ -0006b140: 656e 646d 6169 6c22 0a0a 656c 7365 0a20  endmail"..else. 
│ │ │ -0006b150: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ -0006b160: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ -0006b170: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ -0006b180: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ -0006b190: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +0006a760: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +0006a770: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +0006a780: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0006a790: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0006a7a0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0006a7b0: 6964 6d32 3032 3136 223e 3c74 6162 6c65  idm20216"><table
│ │ │ +0006a7c0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0006a7d0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0006a7e0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0006a7f0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0006a800: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0006a810: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0006a820: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0006a830: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0006a840: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0006a850: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0006a860: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0006a870: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0006a880: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0006a890: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0006a8a0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0006a8b0: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +0006a8c0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +0006a8d0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +0006a8e0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +0006a8f0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +0006a900: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0006a910: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +0006a920: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +0006a930: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0006a940: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ +0006a950: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0006a960: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0006a970: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0006a980: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +0006a990: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +0006a9a0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0006a9b0: 6163 6b61 6765 5f73 656e 646d 6169 6c5f  ackage_sendmail_
│ │ │ +0006a9c0: 7265 6d6f 7665 640a 0a2d 206e 616d 653a  removed..- name:
│ │ │ +0006a9d0: 2045 6e73 7572 6520 7365 6e64 6d61 696c   Ensure sendmail
│ │ │ +0006a9e0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +0006a9f0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0006aa00: 2073 656e 646d 6169 6c0a 2020 2020 7374   sendmail.    st
│ │ │ +0006aa10: 6174 653a 2061 6273 656e 740a 2020 7768  ate: absent.  wh
│ │ │ +0006aa20: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +0006aa30: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0006aa40: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +0006aa50: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +0006aa60: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0006aa70: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0006aa80: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ +0006aa90: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ +0006aaa0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +0006aab0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0006aac0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0006aad0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +0006aae0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +0006aaf0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0006ab00: 0a20 202d 2070 6163 6b61 6765 5f73 656e  .  - package_sen
│ │ │ +0006ab10: 646d 6169 6c5f 7265 6d6f 7665 640a 3c2f  dmail_removed.</
│ │ │ +0006ab20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0006ab30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0006ab40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0006ab50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0006ab60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0006ab70: 2369 646d 3230 3231 3722 2074 6162 696e  #idm20217" tabin
│ │ │ +0006ab80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0006ab90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0006aba0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0006abb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0006abc0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0006abd0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +0006abe0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +0006abf0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0006ac00: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0006ac10: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0006ac20: 6d32 3032 3137 223e 3c74 6162 6c65 2063  m20217"><table c
│ │ │ +0006ac30: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0006ac40: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0006ac50: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0006ac60: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0006ac70: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0006ac80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0006ac90: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0006aca0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0006acb0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0006acc0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0006acd0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0006ace0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0006acf0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0006ad00: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0006ad10: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0006ad20: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ +0006ad30: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ +0006ad40: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ +0006ad50: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ +0006ad60: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ +0006ad70: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ +0006ad80: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ +0006ad90: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ +0006ada0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ +0006adb0: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ +0006adc0: 3b20 7468 656e 0a0a 2320 4341 5554 494f  ; then..# CAUTIO
│ │ │ +0006add0: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +0006ade0: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +0006adf0: 7265 6d6f 7665 2073 656e 646d 6169 6c0a  remove sendmail.
│ │ │ +0006ae00: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +0006ae10: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +0006ae20: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +0006ae30: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +0006ae40: 6e64 206f 6e20 7365 6e64 6d61 696c 2e20  nd on sendmail. 
│ │ │ +0006ae50: 4578 6563 7574 6520 7468 6973 0a23 0920  Execute this.#. 
│ │ │ +0006ae60: 2020 7265 6d65 6469 6174 696f 6e20 4146    remediation AF
│ │ │ +0006ae70: 5445 5220 7465 7374 696e 6720 6f6e 2061  TER testing on a
│ │ │ +0006ae80: 206e 6f6e 2d70 726f 6475 6374 696f 6e0a   non-production.
│ │ │ +0006ae90: 2309 2020 2073 7973 7465 6d21 0a0a 4445  #.   system!..DE
│ │ │ +0006aea0: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +0006aeb0: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +0006aec0: 2d67 6574 2072 656d 6f76 6520 2d79 2022  -get remove -y "
│ │ │ +0006aed0: 7365 6e64 6d61 696c 220a 0a65 6c73 650a  sendmail"..else.
│ │ │ +0006aee0: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ +0006aef0: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ +0006af00: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ +0006af10: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ +0006af20: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0006af30: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0006af40: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0006af50: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0006af60: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0006af70: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +0006af80: 3032 3138 2220 7461 6269 6e64 6578 3d22  0218" tabindex="
│ │ │ +0006af90: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0006afa0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0006afb0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0006afc0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0006afd0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0006afe0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0006aff0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0006b000: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0006b010: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0006b020: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +0006b030: 3231 3822 3e3c 7461 626c 6520 636c 6173  218"><table clas
│ │ │ +0006b040: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0006b050: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0006b060: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0006b070: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0006b080: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0006b090: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0006b0a0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0006b0b0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0006b0c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006b0d0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0006b0e0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0006b0f0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0006b100: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +0006b110: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0006b120: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +0006b130: 636c 7564 6520 7265 6d6f 7665 5f73 656e  clude remove_sen
│ │ │ +0006b140: 646d 6169 6c0a 0a63 6c61 7373 2072 656d  dmail..class rem
│ │ │ +0006b150: 6f76 655f 7365 6e64 6d61 696c 207b 0a20  ove_sendmail {. 
│ │ │ +0006b160: 2070 6163 6b61 6765 207b 2027 7365 6e64   package { 'send
│ │ │ +0006b170: 6d61 696c 273a 0a20 2020 2065 6e73 7572  mail':.    ensur
│ │ │ +0006b180: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +0006b190: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0006b1a0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  0006b1b0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  0006b1c0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  0006b1d0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  0006b1e0: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  0006b1f0: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  0006b200: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -27837,181 +27837,181 @@
│ │ │  0006cbc0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0006cbd0: 6d32 3038 3736 2220 7461 6269 6e64 6578  m20876" tabindex
│ │ │  0006cbe0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  0006cbf0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  0006cc00: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  0006cc10: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  0006cc20: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0006cc30: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0006cc40: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0006cc50: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0006cc60: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0006cc70: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0006cc80: 3230 3837 3622 3e3c 7461 626c 6520 636c  20876"><table cl
│ │ │ -0006cc90: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0006cca0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0006ccb0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0006ccc0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0006ccd0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0006cce0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0006ccf0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0006cd00: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0006cd10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006cd20: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0006cd30: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0006cd40: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0006cd50: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0006cd60: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0006cd70: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0006cd80: 696e 636c 7564 6520 7265 6d6f 7665 5f78  include remove_x
│ │ │ -0006cd90: 696e 6574 640a 0a63 6c61 7373 2072 656d  inetd..class rem
│ │ │ -0006cda0: 6f76 655f 7869 6e65 7464 207b 0a20 2070  ove_xinetd {.  p
│ │ │ -0006cdb0: 6163 6b61 6765 207b 2027 7869 6e65 7464  ackage { 'xinetd
│ │ │ -0006cdc0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -0006cdd0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -0006cde0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0006cdf0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0006ce00: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0006ce10: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0006ce20: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0006ce30: 7267 6574 3d22 2369 646d 3230 3837 3722  rget="#idm20877"
│ │ │ -0006ce40: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0006ce50: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0006ce60: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0006ce70: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0006ce80: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0006ce90: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0006cea0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -0006ceb0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0006cec0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0006ced0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0006cee0: 6522 2069 643d 2269 646d 3230 3837 3722  e" id="idm20877"
│ │ │ -0006cef0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0006cf00: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0006cf10: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0006cf20: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0006cf30: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0006cf40: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0006cf50: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0006cf60: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0006cf70: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0006cf80: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0006cf90: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0006cfa0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0006cfb0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0006cfc0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0006cfd0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0006cfe0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0006cff0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -0006d000: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -0006d010: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -0006d020: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -0006d030: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -0006d040: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -0006d050: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0006d060: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -0006d070: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -0006d080: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -0006d090: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -0006d0a0: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ -0006d0b0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -0006d0c0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0006d0d0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0006d0e0: 202d 206c 6f77 5f73 6576 6572 6974 790a   - low_severity.
│ │ │ -0006d0f0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0006d100: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0006d110: 5f78 696e 6574 645f 7265 6d6f 7665 640a  _xinetd_removed.
│ │ │ -0006d120: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ -0006d130: 7869 6e65 7464 2069 7320 7265 6d6f 7665  xinetd is remove
│ │ │ -0006d140: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -0006d150: 206e 616d 653a 2078 696e 6574 640a 2020   name: xinetd.  
│ │ │ -0006d160: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -0006d170: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0006d180: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0006d190: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0006d1a0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0006d1b0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0006d1c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0006d1d0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ -0006d1e0: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ -0006d1f0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0006d200: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0006d210: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ -0006d220: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -0006d230: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0006d240: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0006d250: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -0006d260: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0006d270: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0006d280: 6167 655f 7869 6e65 7464 5f72 656d 6f76  age_xinetd_remov
│ │ │ -0006d290: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -0006d2a0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0006d2b0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0006d2c0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0006d2d0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0006d2e0: 6765 743d 2223 6964 6d32 3038 3738 2220  get="#idm20878" 
│ │ │ -0006d2f0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0006d300: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0006d310: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0006d320: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0006d330: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0006d340: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0006d350: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -0006d360: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0006d370: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0006d380: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0006d390: 643d 2269 646d 3230 3837 3822 3e3c 7461  d="idm20878"><ta
│ │ │ -0006d3a0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0006d3b0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0006d3c0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0006d3d0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0006d3e0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0006d3f0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0006d400: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0006d410: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0006d420: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0006d430: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0006d440: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0006d450: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0006d460: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0006d470: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -0006d480: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0006d490: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ -0006d4a0: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ -0006d4b0: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ -0006d4c0: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ -0006d4d0: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ -0006d4e0: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ -0006d4f0: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ -0006d500: 737d 0a27 2027 6c69 6e75 782d 6261 7365  s}.' 'linux-base
│ │ │ -0006d510: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c  ' 2&gt;/dev/null
│ │ │ -0006d520: 207c 2067 7265 7020 2d71 205e 696e 7374   | grep -q ^inst
│ │ │ -0006d530: 616c 6c65 643b 2074 6865 6e0a 0a23 2043  alled; then..# C
│ │ │ -0006d540: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ -0006d550: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ -0006d560: 7769 6c6c 2072 656d 6f76 6520 7869 6e65  will remove xine
│ │ │ -0006d570: 7464 0a23 0920 2020 6672 6f6d 2074 6865  td.#.   from the
│ │ │ -0006d580: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -0006d590: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -0006d5a0: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -0006d5b0: 6570 656e 6420 6f6e 2078 696e 6574 642e  epend on xinetd.
│ │ │ -0006d5c0: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -0006d5d0: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -0006d5e0: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -0006d5f0: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -0006d600: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -0006d610: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -0006d620: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -0006d630: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -0006d640: 2278 696e 6574 6422 0a0a 656c 7365 0a20  "xinetd"..else. 
│ │ │ -0006d650: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ -0006d660: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ -0006d670: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ -0006d680: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ -0006d690: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +0006cc30: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +0006cc40: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +0006cc50: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0006cc60: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0006cc70: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0006cc80: 6d32 3038 3736 223e 3c74 6162 6c65 2063  m20876"><table c
│ │ │ +0006cc90: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0006cca0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0006ccb0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0006ccc0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0006ccd0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0006cce0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0006ccf0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0006cd00: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0006cd10: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0006cd20: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0006cd30: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0006cd40: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0006cd50: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0006cd60: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0006cd70: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0006cd80: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +0006cd90: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +0006cda0: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +0006cdb0: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +0006cdc0: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +0006cdd0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0006cde0: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +0006cdf0: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ +0006ce00: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0006ce10: 3728 6229 0a20 202d 2050 4349 2d44 5353  7(b).  - PCI-DSS
│ │ │ +0006ce20: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ +0006ce30: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ +0006ce40: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0006ce50: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0006ce60: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0006ce70: 7074 696f 6e0a 2020 2d20 6c6f 775f 7365  ption.  - low_se
│ │ │ +0006ce80: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0006ce90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0006cea0: 7061 636b 6167 655f 7869 6e65 7464 5f72  package_xinetd_r
│ │ │ +0006ceb0: 656d 6f76 6564 0a0a 2d20 6e61 6d65 3a20  emoved..- name: 
│ │ │ +0006cec0: 456e 7375 7265 2078 696e 6574 6420 6973  Ensure xinetd is
│ │ │ +0006ced0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +0006cee0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7869  ge:.    name: xi
│ │ │ +0006cef0: 6e65 7464 0a20 2020 2073 7461 7465 3a20  netd.    state: 
│ │ │ +0006cf00: 6162 7365 6e74 0a20 2077 6865 6e3a 2027  absent.  when: '
│ │ │ +0006cf10: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +0006cf20: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +0006cf30: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +0006cf40: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0006cf50: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +0006cf60: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ +0006cf70: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0006cf80: 434d 2d37 2862 290a 2020 2d20 5043 492d  CM-7(b).  - PCI-
│ │ │ +0006cf90: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +0006cfa0: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +0006cfb0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +0006cfc0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +0006cfd0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +0006cfe0: 7372 7570 7469 6f6e 0a20 202d 206c 6f77  sruption.  - low
│ │ │ +0006cff0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +0006d000: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0006d010: 202d 2070 6163 6b61 6765 5f78 696e 6574   - package_xinet
│ │ │ +0006d020: 645f 7265 6d6f 7665 640a 3c2f 636f 6465  d_removed.</code
│ │ │ +0006d030: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0006d040: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0006d050: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0006d060: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0006d070: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0006d080: 3230 3837 3722 2074 6162 696e 6465 783d  20877" tabindex=
│ │ │ +0006d090: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0006d0a0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0006d0b0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0006d0c0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0006d0d0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0006d0e0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +0006d0f0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +0006d100: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0006d110: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0006d120: 6170 7365 2220 6964 3d22 6964 6d32 3038  apse" id="idm208
│ │ │ +0006d130: 3737 223e 3c74 6162 6c65 2063 6c61 7373  77"><table class
│ │ │ +0006d140: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0006d150: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0006d160: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0006d170: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0006d180: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0006d190: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0006d1a0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0006d1b0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0006d1c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0006d1d0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0006d1e0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0006d1f0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0006d200: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0006d210: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0006d220: 653e 3c70 7265 3e3c 636f 6465 3e23 2052  e><pre><code># R
│ │ │ +0006d230: 656d 6564 6961 7469 6f6e 2069 7320 6170  emediation is ap
│ │ │ +0006d240: 706c 6963 6162 6c65 206f 6e6c 7920 696e  plicable only in
│ │ │ +0006d250: 2063 6572 7461 696e 2070 6c61 7466 6f72   certain platfor
│ │ │ +0006d260: 6d73 0a69 6620 6470 6b67 2d71 7565 7279  ms.if dpkg-query
│ │ │ +0006d270: 202d 2d73 686f 7720 2d2d 7368 6f77 666f   --show --showfo
│ │ │ +0006d280: 726d 6174 3d27 247b 6462 3a53 7461 7475  rmat='${db:Statu
│ │ │ +0006d290: 732d 5374 6174 7573 7d0a 2720 276c 696e  s-Status}.' 'lin
│ │ │ +0006d2a0: 7578 2d62 6173 6527 2032 2667 743b 2f64  ux-base' 2&gt;/d
│ │ │ +0006d2b0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d  ev/null | grep -
│ │ │ +0006d2c0: 7120 5e69 6e73 7461 6c6c 6564 3b20 7468  q ^installed; th
│ │ │ +0006d2d0: 656e 0a0a 2320 4341 5554 494f 4e3a 2054  en..# CAUTION: T
│ │ │ +0006d2e0: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ +0006d2f0: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ +0006d300: 7665 2078 696e 6574 640a 2309 2020 2066  ve xinetd.#.   f
│ │ │ +0006d310: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ +0006d320: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ +0006d330: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ +0006d340: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ +0006d350: 7869 6e65 7464 2e20 4578 6563 7574 6520  xinetd. Execute 
│ │ │ +0006d360: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ +0006d370: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ +0006d380: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ +0006d390: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ +0006d3a0: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ +0006d3b0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +0006d3c0: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ +0006d3d0: 6f76 6520 2d79 2022 7869 6e65 7464 220a  ove -y "xinetd".
│ │ │ +0006d3e0: 0a65 6c73 650a 2020 2020 2667 743b 2661  .else.    &gt;&a
│ │ │ +0006d3f0: 6d70 3b32 2065 6368 6f20 2752 656d 6564  mp;2 echo 'Remed
│ │ │ +0006d400: 6961 7469 6f6e 2069 7320 6e6f 7420 6170  iation is not ap
│ │ │ +0006d410: 706c 6963 6162 6c65 2c20 6e6f 7468 696e  plicable, nothin
│ │ │ +0006d420: 6720 7761 7320 646f 6e65 270a 6669 0a3c  g was done'.fi.<
│ │ │ +0006d430: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0006d440: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0006d450: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0006d460: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0006d470: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0006d480: 2223 6964 6d32 3038 3738 2220 7461 6269  "#idm20878" tabi
│ │ │ +0006d490: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0006d4a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0006d4b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0006d4c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0006d4d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0006d4e0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0006d4f0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0006d500: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0006d510: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0006d520: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0006d530: 2269 646d 3230 3837 3822 3e3c 7461 626c  "idm20878"><tabl
│ │ │ +0006d540: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0006d550: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0006d560: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0006d570: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0006d580: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0006d590: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006d5a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0006d5b0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0006d5c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0006d5d0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0006d5e0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0006d5f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0006d600: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0006d610: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +0006d620: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0006d630: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +0006d640: 7665 5f78 696e 6574 640a 0a63 6c61 7373  ve_xinetd..class
│ │ │ +0006d650: 2072 656d 6f76 655f 7869 6e65 7464 207b   remove_xinetd {
│ │ │ +0006d660: 0a20 2070 6163 6b61 6765 207b 2027 7869  .  package { 'xi
│ │ │ +0006d670: 6e65 7464 273a 0a20 2020 2065 6e73 7572  netd':.    ensur
│ │ │ +0006d680: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +0006d690: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0006d6a0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  0006d6b0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  0006d6c0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  0006d6d0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  0006d6e0: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  0006d6f0: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  0006d700: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -28244,140 +28244,140 @@
│ │ │  0006e530: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0006e540: 6d32 3039 3030 2220 7461 6269 6e64 6578  m20900" tabindex
│ │ │  0006e550: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  0006e560: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  0006e570: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  0006e580: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  0006e590: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0006e5a0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0006e5b0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0006e5c0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0006e5d0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0006e5e0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0006e5f0: 3230 3930 3022 3e3c 7461 626c 6520 636c  20900"><table cl
│ │ │ -0006e600: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0006e610: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0006e620: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0006e630: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0006e640: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0006e650: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0006e660: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0006e670: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0006e680: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006e690: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0006e6a0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0006e6b0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0006e6c0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0006e6d0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0006e6e0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0006e6f0: 696e 636c 7564 6520 7265 6d6f 7665 5f79  include remove_y
│ │ │ -0006e700: 7062 696e 642d 6d74 0a0a 636c 6173 7320  pbind-mt..class 
│ │ │ -0006e710: 7265 6d6f 7665 5f79 7062 696e 642d 6d74  remove_ypbind-mt
│ │ │ -0006e720: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -0006e730: 7970 6269 6e64 2d6d 7427 3a0a 2020 2020  ypbind-mt':.    
│ │ │ -0006e740: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -0006e750: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -0006e760: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0006e770: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0006e780: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0006e790: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0006e7a0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0006e7b0: 6964 6d32 3039 3031 2220 7461 6269 6e64  idm20901" tabind
│ │ │ -0006e7c0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0006e7d0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0006e7e0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0006e7f0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0006e800: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0006e810: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -0006e820: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -0006e830: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0006e840: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0006e850: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0006e860: 6964 6d32 3039 3031 223e 3c74 6162 6c65  idm20901"><table
│ │ │ -0006e870: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0006e880: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0006e890: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0006e8a0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0006e8b0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0006e8c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0006e8d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0006e8e0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0006e8f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0006e900: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0006e910: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0006e920: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0006e930: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -0006e940: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -0006e950: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0006e960: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ -0006e970: 6520 7970 6269 6e64 2d6d 7420 6973 2072  e ypbind-mt is r
│ │ │ -0006e980: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -0006e990: 3a0a 2020 2020 6e61 6d65 3a20 7970 6269  :.    name: ypbi
│ │ │ -0006e9a0: 6e64 2d6d 740a 2020 2020 7374 6174 653a  nd-mt.    state:
│ │ │ -0006e9b0: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -0006e9c0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -0006e9d0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -0006e9e0: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ -0006e9f0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0006ea00: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0006ea10: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0006ea20: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006ea30: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -0006ea40: 655f 7970 6269 6e64 5f72 656d 6f76 6564  e_ypbind_removed
│ │ │ -0006ea50: 0a20 202d 2075 6e6b 6e6f 776e 5f73 6576  .  - unknown_sev
│ │ │ -0006ea60: 6572 6974 790a 3c2f 636f 6465 3e3c 2f70  erity.</code></p
│ │ │ -0006ea70: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0006ea80: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0006ea90: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0006eaa0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0006eab0: 7461 7267 6574 3d22 2369 646d 3230 3930  target="#idm2090
│ │ │ -0006eac0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -0006ead0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0006eae0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0006eaf0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0006eb00: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0006eb10: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0006eb20: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ -0006eb30: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0006eb40: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0006eb50: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0006eb60: 2220 6964 3d22 6964 6d32 3039 3032 223e  " id="idm20902">
│ │ │ -0006eb70: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0006eb80: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0006eb90: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0006eba0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0006ebb0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0006ebc0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0006ebd0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006ebe0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0006ebf0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006ec00: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0006ec10: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0006ec20: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0006ec30: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0006ec40: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0006ec50: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0006ec60: 7265 3e3c 636f 6465 3e0a 2320 4341 5554  re><code>.# CAUT
│ │ │ -0006ec70: 494f 4e3a 2054 6869 7320 7265 6d65 6469  ION: This remedi
│ │ │ -0006ec80: 6174 696f 6e20 7363 7269 7074 2077 696c  ation script wil
│ │ │ -0006ec90: 6c20 7265 6d6f 7665 2079 7062 696e 642d  l remove ypbind-
│ │ │ -0006eca0: 6d74 0a23 0920 2020 6672 6f6d 2074 6865  mt.#.   from the
│ │ │ -0006ecb0: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -0006ecc0: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -0006ecd0: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -0006ece0: 6570 656e 6420 6f6e 2079 7062 696e 642d  epend on ypbind-
│ │ │ -0006ecf0: 6d74 2e20 4578 6563 7574 6520 7468 6973  mt. Execute this
│ │ │ -0006ed00: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ -0006ed10: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ -0006ed20: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ -0006ed30: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ -0006ed40: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -0006ed50: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -0006ed60: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ -0006ed70: 2d79 2022 7970 6269 6e64 2d6d 7422 0a3c  -y "ypbind-mt".<
│ │ │ +0006e5a0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +0006e5b0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +0006e5c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0006e5d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0006e5e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0006e5f0: 6d32 3039 3030 223e 3c74 6162 6c65 2063  m20900"><table c
│ │ │ +0006e600: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0006e610: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0006e620: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0006e630: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0006e640: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0006e650: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0006e660: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0006e670: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0006e680: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0006e690: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0006e6a0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0006e6b0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0006e6c0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0006e6d0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0006e6e0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0006e6f0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +0006e700: 7970 6269 6e64 2d6d 7420 6973 2072 656d  ypbind-mt is rem
│ │ │ +0006e710: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +0006e720: 2020 2020 6e61 6d65 3a20 7970 6269 6e64      name: ypbind
│ │ │ +0006e730: 2d6d 740a 2020 2020 7374 6174 653a 2061  -mt.    state: a
│ │ │ +0006e740: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ +0006e750: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +0006e760: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +0006e770: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ +0006e780: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +0006e790: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +0006e7a0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +0006e7b0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +0006e7c0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +0006e7d0: 7970 6269 6e64 5f72 656d 6f76 6564 0a20  ypbind_removed. 
│ │ │ +0006e7e0: 202d 2075 6e6b 6e6f 776e 5f73 6576 6572   - unknown_sever
│ │ │ +0006e7f0: 6974 790a 3c2f 636f 6465 3e3c 2f70 7265  ity.</code></pre
│ │ │ +0006e800: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0006e810: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0006e820: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0006e830: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0006e840: 7267 6574 3d22 2369 646d 3230 3930 3122  rget="#idm20901"
│ │ │ +0006e850: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0006e860: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0006e870: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0006e880: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0006e890: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0006e8a0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0006e8b0: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +0006e8c0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0006e8d0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0006e8e0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0006e8f0: 6964 3d22 6964 6d32 3039 3031 223e 3c74  id="idm20901"><t
│ │ │ +0006e900: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0006e910: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0006e920: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0006e930: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0006e940: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0006e950: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0006e960: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006e970: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0006e980: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0006e990: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0006e9a0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0006e9b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006e9c0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0006e9d0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0006e9e0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0006e9f0: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ +0006ea00: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +0006ea10: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +0006ea20: 7265 6d6f 7665 2079 7062 696e 642d 6d74  remove ypbind-mt
│ │ │ +0006ea30: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ +0006ea40: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ +0006ea50: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ +0006ea60: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ +0006ea70: 656e 6420 6f6e 2079 7062 696e 642d 6d74  end on ypbind-mt
│ │ │ +0006ea80: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +0006ea90: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +0006eaa0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +0006eab0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +0006eac0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +0006ead0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +0006eae0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +0006eaf0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +0006eb00: 2022 7970 6269 6e64 2d6d 7422 0a3c 2f63   "ypbind-mt".</c
│ │ │ +0006eb10: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +0006eb20: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +0006eb30: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +0006eb40: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +0006eb50: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +0006eb60: 6964 6d32 3039 3032 2220 7461 6269 6e64  idm20902" tabind
│ │ │ +0006eb70: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +0006eb80: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +0006eb90: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +0006eba0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +0006ebb0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +0006ebc0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +0006ebd0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +0006ebe0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0006ebf0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0006ec00: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0006ec10: 646d 3230 3930 3222 3e3c 7461 626c 6520  dm20902"><table 
│ │ │ +0006ec20: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0006ec30: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0006ec40: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0006ec50: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0006ec60: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0006ec70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0006ec80: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0006ec90: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0006eca0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006ecb0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0006ecc0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0006ecd0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0006ece0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0006ecf0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0006ed00: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0006ed10: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +0006ed20: 5f79 7062 696e 642d 6d74 0a0a 636c 6173  _ypbind-mt..clas
│ │ │ +0006ed30: 7320 7265 6d6f 7665 5f79 7062 696e 642d  s remove_ypbind-
│ │ │ +0006ed40: 6d74 207b 0a20 2070 6163 6b61 6765 207b  mt {.  package {
│ │ │ +0006ed50: 2027 7970 6269 6e64 2d6d 7427 3a0a 2020   'ypbind-mt':.  
│ │ │ +0006ed60: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +0006ed70: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  0006ed80: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0006ed90: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0006eda0: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0006edb0: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0006edc0: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  0006edd0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0006ede0: 2e63 6f6e 7465 6e74 5f72 756c 655f 7061  .content_rule_pa
│ │ │ @@ -28655,146 +28655,146 @@
│ │ │  0006fee0: 2d74 6172 6765 743d 2223 6964 6d32 3130  -target="#idm210
│ │ │  0006fef0: 3137 2220 7461 6269 6e64 6578 3d22 3022  17" tabindex="0"
│ │ │  0006ff00: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0006ff10: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0006ff20: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0006ff30: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0006ff40: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0006ff50: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0006ff60: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0006ff70: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0006ff80: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0006ff90: 7073 6522 2069 643d 2269 646d 3231 3031  pse" id="idm2101
│ │ │ -0006ffa0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ -0006ffb0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0006ffc0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0006ffd0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0006ffe0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0006fff0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00070000: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00070010: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00070020: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00070030: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00070040: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00070050: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00070060: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00070070: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00070080: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00070090: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -000700a0: 7564 6520 7265 6d6f 7665 5f79 7073 6572  ude remove_ypser
│ │ │ -000700b0: 760a 0a63 6c61 7373 2072 656d 6f76 655f  v..class remove_
│ │ │ -000700c0: 7970 7365 7276 207b 0a20 2070 6163 6b61  ypserv {.  packa
│ │ │ -000700d0: 6765 207b 2027 7970 7365 7276 273a 0a20  ge { 'ypserv':. 
│ │ │ -000700e0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -000700f0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00070100: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00070110: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00070120: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00070130: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00070140: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00070150: 3d22 2369 646d 3231 3031 3822 2074 6162  ="#idm21018" tab
│ │ │ -00070160: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00070170: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00070180: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00070190: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000701a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000701b0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -000701c0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -000701d0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000701e0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000701f0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00070200: 643d 2269 646d 3231 3031 3822 3e3c 7461  d="idm21018"><ta
│ │ │ -00070210: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00070220: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00070230: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00070240: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00070250: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00070260: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00070270: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00070280: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00070290: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000702a0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000702b0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000702c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000702d0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -000702e0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -000702f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00070300: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00070310: 7375 7265 2079 7073 6572 7620 6973 2072  sure ypserv is r
│ │ │ -00070320: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00070330: 3a0a 2020 2020 6e61 6d65 3a20 7970 7365  :.    name: ypse
│ │ │ -00070340: 7276 0a20 2020 2073 7461 7465 3a20 6162  rv.    state: ab
│ │ │ -00070350: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00070360: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00070370: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -00070380: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -00070390: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -000703a0: 3728 6229 0a20 202d 204e 4953 542d 3830  7(b).  - NIST-80
│ │ │ -000703b0: 302d 3533 2d49 412d 3528 3129 2863 290a  0-53-IA-5(1)(c).
│ │ │ -000703c0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -000703d0: 322e 322e 320a 2020 2d20 5043 492d 4453  2.2.2.  - PCI-DS
│ │ │ -000703e0: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ -000703f0: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ -00070400: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -00070410: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -00070420: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -00070430: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00070440: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -00070450: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00070460: 2d20 7061 636b 6167 655f 7970 7365 7276  - package_ypserv
│ │ │ -00070470: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -00070480: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00070490: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000704a0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -000704b0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -000704c0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -000704d0: 3130 3139 2220 7461 6269 6e64 6578 3d22  1019" tabindex="
│ │ │ -000704e0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -000704f0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00070500: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00070510: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00070520: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00070530: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00070540: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00070550: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00070560: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00070570: 7073 6522 2069 643d 2269 646d 3231 3031  pse" id="idm2101
│ │ │ -00070580: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ -00070590: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -000705a0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -000705b0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -000705c0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -000705d0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -000705e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000705f0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00070600: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00070610: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00070620: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00070630: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00070640: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00070650: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00070660: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00070670: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ -00070680: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ -00070690: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ -000706a0: 7769 6c6c 2072 656d 6f76 6520 7970 7365  will remove ypse
│ │ │ -000706b0: 7276 0a23 0920 2020 6672 6f6d 2074 6865  rv.#.   from the
│ │ │ -000706c0: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -000706d0: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -000706e0: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -000706f0: 6570 656e 6420 6f6e 2079 7073 6572 762e  epend on ypserv.
│ │ │ -00070700: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -00070710: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -00070720: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -00070730: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -00070740: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -00070750: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -00070760: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -00070770: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -00070780: 2279 7073 6572 7622 0a3c 2f63 6f64 653e  "ypserv".</code>
│ │ │ +0006ff50: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0006ff60: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0006ff70: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0006ff80: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0006ff90: 6170 7365 2220 6964 3d22 6964 6d32 3130  apse" id="idm210
│ │ │ +0006ffa0: 3137 223e 3c74 6162 6c65 2063 6c61 7373  17"><table class
│ │ │ +0006ffb0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0006ffc0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0006ffd0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0006ffe0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0006fff0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00070000: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00070010: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00070020: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00070030: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00070040: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00070050: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00070060: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00070070: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00070080: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00070090: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +000700a0: 616d 653a 2045 6e73 7572 6520 7970 7365  ame: Ensure ypse
│ │ │ +000700b0: 7276 2069 7320 7265 6d6f 7665 640a 2020  rv is removed.  
│ │ │ +000700c0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +000700d0: 653a 2079 7073 6572 760a 2020 2020 7374  e: ypserv.    st
│ │ │ +000700e0: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +000700f0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00070100: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00070110: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +00070120: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00070130: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +00070140: 4e49 5354 2d38 3030 2d35 332d 4941 2d35  NIST-800-53-IA-5
│ │ │ +00070150: 2831 2928 6329 0a20 202d 2050 4349 2d44  (1)(c).  - PCI-D
│ │ │ +00070160: 5353 2d52 6571 2d32 2e32 2e32 0a20 202d  SS-Req-2.2.2.  -
│ │ │ +00070170: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00070180: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00070190: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +000701a0: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ +000701b0: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ +000701c0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +000701d0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +000701e0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +000701f0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00070200: 5f79 7073 6572 765f 7265 6d6f 7665 640a  _ypserv_removed.
│ │ │ +00070210: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00070220: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00070230: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00070240: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00070250: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00070260: 3d22 2369 646d 3231 3031 3822 2074 6162  ="#idm21018" tab
│ │ │ +00070270: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00070280: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00070290: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000702a0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000702b0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000702c0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ +000702d0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ +000702e0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +000702f0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00070300: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00070310: 6964 6d32 3130 3138 223e 3c74 6162 6c65  idm21018"><table
│ │ │ +00070320: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00070330: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00070340: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00070350: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00070360: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00070370: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00070380: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00070390: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000703a0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000703b0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +000703c0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000703d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000703e0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +000703f0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00070400: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00070410: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ +00070420: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ +00070430: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ +00070440: 7665 2079 7073 6572 760a 2309 2020 2066  ve ypserv.#.   f
│ │ │ +00070450: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ +00070460: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ +00070470: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ +00070480: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ +00070490: 7970 7365 7276 2e20 4578 6563 7574 6520  ypserv. Execute 
│ │ │ +000704a0: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ +000704b0: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ +000704c0: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ +000704d0: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ +000704e0: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ +000704f0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +00070500: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ +00070510: 6f76 6520 2d79 2022 7970 7365 7276 220a  ove -y "ypserv".
│ │ │ +00070520: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00070530: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00070540: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00070550: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00070560: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00070570: 3d22 2369 646d 3231 3031 3922 2074 6162  ="#idm21019" tab
│ │ │ +00070580: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00070590: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +000705a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000705b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000705c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000705d0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +000705e0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +000705f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00070600: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00070610: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00070620: 3d22 6964 6d32 3130 3139 223e 3c74 6162  ="idm21019"><tab
│ │ │ +00070630: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00070640: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00070650: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00070660: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00070670: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00070680: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00070690: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000706a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000706b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000706c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000706d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000706e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +000706f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00070700: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00070710: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00070720: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +00070730: 6f76 655f 7970 7365 7276 0a0a 636c 6173  ove_ypserv..clas
│ │ │ +00070740: 7320 7265 6d6f 7665 5f79 7073 6572 7620  s remove_ypserv 
│ │ │ +00070750: 7b0a 2020 7061 636b 6167 6520 7b20 2779  {.  package { 'y
│ │ │ +00070760: 7073 6572 7627 3a0a 2020 2020 656e 7375  pserv':.    ensu
│ │ │ +00070770: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +00070780: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00070790: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  000707a0: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  000707b0: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  000707c0: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  000707d0: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  000707e0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  000707f0: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -29136,147 +29136,147 @@
│ │ │  00071cf0: 6765 743d 2223 6964 6d32 3131 3337 2220  get="#idm21137" 
│ │ │  00071d00: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00071d10: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00071d20: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00071d30: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00071d40: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00071d50: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00071d60: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00071d70: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00071d80: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00071d90: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00071da0: 2069 643d 2269 646d 3231 3133 3722 3e3c   id="idm21137"><
│ │ │ -00071db0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00071dc0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00071dd0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00071de0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00071df0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00071e00: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00071e10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00071e20: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00071e30: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00071e40: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00071e50: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00071e60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00071e70: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00071e80: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00071e90: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00071ea0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00071eb0: 7265 6d6f 7665 5f72 7368 2d73 6572 7665  remove_rsh-serve
│ │ │ -00071ec0: 720a 0a63 6c61 7373 2072 656d 6f76 655f  r..class remove_
│ │ │ -00071ed0: 7273 682d 7365 7276 6572 207b 0a20 2070  rsh-server {.  p
│ │ │ -00071ee0: 6163 6b61 6765 207b 2027 7273 682d 7365  ackage { 'rsh-se
│ │ │ -00071ef0: 7276 6572 273a 0a20 2020 2065 6e73 7572  rver':.    ensur
│ │ │ -00071f00: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ -00071f10: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00071f20: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00071f30: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00071f40: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00071f50: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00071f60: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ -00071f70: 3133 3822 2074 6162 696e 6465 783d 2230  138" tabindex="0
│ │ │ -00071f80: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00071f90: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00071fa0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00071fb0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00071fc0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00071fd0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00071fe0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00071ff0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00072000: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00072010: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ -00072020: 3133 3822 3e3c 7461 626c 6520 636c 6173  138"><table clas
│ │ │ -00072030: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00072040: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00072050: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00072060: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00072070: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00072080: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00072090: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -000720a0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -000720b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000720c0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -000720d0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -000720e0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -000720f0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00072100: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00072110: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00072120: 6e61 6d65 3a20 456e 7375 7265 2072 7368  name: Ensure rsh
│ │ │ -00072130: 2d73 6572 7665 7220 6973 2072 656d 6f76  -server is remov
│ │ │ -00072140: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00072150: 2020 6e61 6d65 3a20 7273 682d 7365 7276    name: rsh-serv
│ │ │ -00072160: 6572 0a20 2020 2073 7461 7465 3a20 6162  er.    state: ab
│ │ │ -00072170: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00072180: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00072190: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -000721a0: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -000721b0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -000721c0: 3728 6229 0a20 202d 204e 4953 542d 3830  7(b).  - NIST-80
│ │ │ -000721d0: 302d 3533 2d49 412d 3528 3129 2863 290a  0-53-IA-5(1)(c).
│ │ │ -000721e0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -000721f0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -00072200: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ -00072210: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00072220: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00072230: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00072240: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00072250: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00072260: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00072270: 6167 655f 7273 682d 7365 7276 6572 5f72  age_rsh-server_r
│ │ │ -00072280: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ -00072290: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -000722a0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -000722b0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -000722c0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -000722d0: 2d74 6172 6765 743d 2223 6964 6d32 3131  -target="#idm211
│ │ │ -000722e0: 3339 2220 7461 6269 6e64 6578 3d22 3022  39" tabindex="0"
│ │ │ -000722f0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00072300: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00072310: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00072320: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00072330: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00072340: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -00072350: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -00072360: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00072370: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00072380: 6522 2069 643d 2269 646d 3231 3133 3922  e" id="idm21139"
│ │ │ -00072390: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -000723a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -000723b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -000723c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -000723d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -000723e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -000723f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00072400: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00072410: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00072420: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00072430: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00072440: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00072450: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00072460: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00072470: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00072480: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -00072490: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -000724a0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -000724b0: 6c6c 2072 656d 6f76 6520 7273 682d 7365  ll remove rsh-se
│ │ │ -000724c0: 7276 6572 0a23 0920 2020 6672 6f6d 2074  rver.#.   from t
│ │ │ -000724d0: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ -000724e0: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ -000724f0: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ -00072500: 2064 6570 656e 6420 6f6e 2072 7368 2d73   depend on rsh-s
│ │ │ -00072510: 6572 7665 722e 2045 7865 6375 7465 2074  erver. Execute t
│ │ │ -00072520: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ -00072530: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ -00072540: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ -00072550: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ -00072560: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ -00072570: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -00072580: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ -00072590: 7665 202d 7920 2272 7368 2d73 6572 7665  ve -y "rsh-serve
│ │ │ -000725a0: 7222 0a3c 2f63 6f64 653e 3c2f 7072 653e  r".</code></pre>
│ │ │ +00071d60: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00071d70: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00071d80: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00071d90: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00071da0: 2220 6964 3d22 6964 6d32 3131 3337 223e  " id="idm21137">
│ │ │ +00071db0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00071dc0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00071dd0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00071de0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00071df0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00071e00: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00071e10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00071e20: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00071e30: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00071e40: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00071e50: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00071e60: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00071e70: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00071e80: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00071e90: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00071ea0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00071eb0: 2045 6e73 7572 6520 7273 682d 7365 7276   Ensure rsh-serv
│ │ │ +00071ec0: 6572 2069 7320 7265 6d6f 7665 640a 2020  er is removed.  
│ │ │ +00071ed0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +00071ee0: 653a 2072 7368 2d73 6572 7665 720a 2020  e: rsh-server.  
│ │ │ +00071ef0: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00071f00: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00071f10: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00071f20: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00071f30: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ +00071f40: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ +00071f50: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00071f60: 4941 2d35 2831 2928 6329 0a20 202d 2050  IA-5(1)(c).  - P
│ │ │ +00071f70: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +00071f80: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ +00071f90: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00071fa0: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +00071fb0: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00071fc0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00071fd0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00071fe0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00071ff0: 6564 0a20 202d 2070 6163 6b61 6765 5f72  ed.  - package_r
│ │ │ +00072000: 7368 2d73 6572 7665 725f 7265 6d6f 7665  sh-server_remove
│ │ │ +00072010: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00072020: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00072030: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00072040: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00072050: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00072060: 6574 3d22 2369 646d 3231 3133 3822 2074  et="#idm21138" t
│ │ │ +00072070: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00072080: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00072090: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +000720a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +000720b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +000720c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +000720d0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +000720e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000720f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00072100: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00072110: 3d22 6964 6d32 3131 3338 223e 3c74 6162  ="idm21138"><tab
│ │ │ +00072120: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00072130: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00072140: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00072150: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00072160: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00072170: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00072180: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00072190: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000721a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000721b0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000721c0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000721d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +000721e0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +000721f0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00072200: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00072210: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ +00072220: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ +00072230: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ +00072240: 6d6f 7665 2072 7368 2d73 6572 7665 720a  move rsh-server.
│ │ │ +00072250: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +00072260: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +00072270: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +00072280: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +00072290: 6e64 206f 6e20 7273 682d 7365 7276 6572  nd on rsh-server
│ │ │ +000722a0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +000722b0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +000722c0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +000722d0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +000722e0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +000722f0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00072300: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00072310: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00072320: 2022 7273 682d 7365 7276 6572 220a 3c2f   "rsh-server".</
│ │ │ +00072330: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00072340: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00072350: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00072360: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00072370: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00072380: 2369 646d 3231 3133 3922 2074 6162 696e  #idm21139" tabin
│ │ │ +00072390: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000723a0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000723b0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000723c0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000723d0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000723e0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +000723f0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00072400: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00072410: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00072420: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00072430: 6964 6d32 3131 3339 223e 3c74 6162 6c65  idm21139"><table
│ │ │ +00072440: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00072450: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00072460: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00072470: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00072480: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00072490: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000724a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +000724b0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000724c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000724d0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +000724e0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000724f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00072500: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00072510: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00072520: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00072530: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00072540: 655f 7273 682d 7365 7276 6572 0a0a 636c  e_rsh-server..cl
│ │ │ +00072550: 6173 7320 7265 6d6f 7665 5f72 7368 2d73  ass remove_rsh-s
│ │ │ +00072560: 6572 7665 7220 7b0a 2020 7061 636b 6167  erver {.  packag
│ │ │ +00072570: 6520 7b20 2772 7368 2d73 6572 7665 7227  e { 'rsh-server'
│ │ │ +00072580: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00072590: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +000725a0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  000725b0: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  000725c0: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  000725d0: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  000725e0: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  000725f0: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  00072600: 6a65 6374 2e63 6f6e 7465 6e74 5f72 756c  ject.content_rul
│ │ │  00072610: 655f 7061 636b 6167 655f 7273 685f 7265  e_package_rsh_re
│ │ │ @@ -29454,139 +29454,139 @@
│ │ │  000730d0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000730e0: 6d32 3131 3639 2220 7461 6269 6e64 6578  m21169" tabindex
│ │ │  000730f0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  00073100: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  00073110: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00073120: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00073130: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00073140: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00073150: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00073160: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00073170: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00073180: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00073190: 3231 3136 3922 3e3c 7461 626c 6520 636c  21169"><table cl
│ │ │ -000731a0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000731b0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000731c0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000731d0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -000731e0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -000731f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00073200: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00073210: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00073220: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00073230: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00073240: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00073250: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00073260: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00073270: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00073280: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00073290: 696e 636c 7564 6520 7265 6d6f 7665 5f72  include remove_r
│ │ │ -000732a0: 7368 0a0a 636c 6173 7320 7265 6d6f 7665  sh..class remove
│ │ │ -000732b0: 5f72 7368 207b 0a20 2070 6163 6b61 6765  _rsh {.  package
│ │ │ -000732c0: 207b 2027 7273 6827 3a0a 2020 2020 656e   { 'rsh':.    en
│ │ │ -000732d0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -000732e0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -000732f0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00073300: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00073310: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00073320: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00073330: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00073340: 6d32 3131 3730 2220 7461 6269 6e64 6578  m21170" tabindex
│ │ │ -00073350: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00073360: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00073370: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00073380: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00073390: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000733a0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000733b0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000733c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000733d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000733e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000733f0: 6d32 3131 3730 223e 3c74 6162 6c65 2063  m21170"><table c
│ │ │ -00073400: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00073410: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00073420: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00073430: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00073440: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00073450: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00073460: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00073470: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00073480: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00073490: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000734a0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000734b0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000734c0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -000734d0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000734e0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -000734f0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00073500: 7273 6820 6973 2072 656d 6f76 6564 0a20  rsh is removed. 
│ │ │ -00073510: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -00073520: 6d65 3a20 7273 680a 2020 2020 7374 6174  me: rsh.    stat
│ │ │ -00073530: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -00073540: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ -00073550: 3731 2d33 2e31 2e31 330a 2020 2d20 5043  71-3.1.13.  - PC
│ │ │ -00073560: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -00073570: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -00073580: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00073590: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -000735a0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -000735b0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -000735c0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -000735d0: 2020 2d20 7061 636b 6167 655f 7273 685f    - package_rsh_
│ │ │ -000735e0: 7265 6d6f 7665 640a 2020 2d20 756e 6b6e  removed.  - unkn
│ │ │ -000735f0: 6f77 6e5f 7365 7665 7269 7479 0a3c 2f63  own_severity.</c
│ │ │ -00073600: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00073610: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00073620: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00073630: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00073640: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00073650: 6964 6d32 3131 3731 2220 7461 6269 6e64  idm21171" tabind
│ │ │ -00073660: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00073670: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00073680: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00073690: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -000736a0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -000736b0: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -000736c0: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -000736d0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -000736e0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000736f0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00073700: 3231 3137 3122 3e3c 7461 626c 6520 636c  21171"><table cl
│ │ │ -00073710: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00073720: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00073730: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00073740: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00073750: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00073760: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00073770: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00073780: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00073790: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000737a0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000737b0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000737c0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000737d0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -000737e0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000737f0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00073800: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -00073810: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -00073820: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -00073830: 7273 680a 2309 2020 2066 726f 6d20 7468  rsh.#.   from th
│ │ │ -00073840: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ -00073850: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ -00073860: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ -00073870: 6465 7065 6e64 206f 6e20 7273 682e 2045  depend on rsh. E
│ │ │ -00073880: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -00073890: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -000738a0: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -000738b0: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -000738c0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -000738d0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -000738e0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -000738f0: 6765 7420 7265 6d6f 7665 202d 7920 2272  get remove -y "r
│ │ │ -00073900: 7368 220a 3c2f 636f 6465 3e3c 2f70 7265  sh".</code></pre
│ │ │ +00073140: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00073150: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00073160: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00073170: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00073180: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00073190: 6d32 3131 3639 223e 3c74 6162 6c65 2063  m21169"><table c
│ │ │ +000731a0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000731b0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000731c0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000731d0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000731e0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000731f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00073200: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00073210: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00073220: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00073230: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00073240: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00073250: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00073260: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00073270: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00073280: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00073290: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +000732a0: 7273 6820 6973 2072 656d 6f76 6564 0a20  rsh is removed. 
│ │ │ +000732b0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +000732c0: 6d65 3a20 7273 680a 2020 2020 7374 6174  me: rsh.    stat
│ │ │ +000732d0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +000732e0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ +000732f0: 3731 2d33 2e31 2e31 330a 2020 2d20 5043  71-3.1.13.  - PC
│ │ │ +00073300: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ +00073310: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ +00073320: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00073330: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00073340: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00073350: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00073360: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00073370: 2020 2d20 7061 636b 6167 655f 7273 685f    - package_rsh_
│ │ │ +00073380: 7265 6d6f 7665 640a 2020 2d20 756e 6b6e  removed.  - unkn
│ │ │ +00073390: 6f77 6e5f 7365 7665 7269 7479 0a3c 2f63  own_severity.</c
│ │ │ +000733a0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000733b0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000733c0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000733d0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000733e0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +000733f0: 6964 6d32 3131 3730 2220 7461 6269 6e64  idm21170" tabind
│ │ │ +00073400: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00073410: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00073420: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00073430: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00073440: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00073450: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +00073460: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +00073470: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00073480: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00073490: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +000734a0: 3231 3137 3022 3e3c 7461 626c 6520 636c  21170"><table cl
│ │ │ +000734b0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +000734c0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000734d0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000734e0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000734f0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00073500: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00073510: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00073520: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00073530: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00073540: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00073550: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00073560: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00073570: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00073580: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00073590: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000735a0: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ +000735b0: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ +000735c0: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ +000735d0: 7273 680a 2309 2020 2066 726f 6d20 7468  rsh.#.   from th
│ │ │ +000735e0: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ +000735f0: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ +00073600: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ +00073610: 6465 7065 6e64 206f 6e20 7273 682e 2045  depend on rsh. E
│ │ │ +00073620: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ +00073630: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ +00073640: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ +00073650: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ +00073660: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ +00073670: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +00073680: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +00073690: 6765 7420 7265 6d6f 7665 202d 7920 2272  get remove -y "r
│ │ │ +000736a0: 7368 220a 3c2f 636f 6465 3e3c 2f70 7265  sh".</code></pre
│ │ │ +000736b0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000736c0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000736d0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000736e0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000736f0: 7267 6574 3d22 2369 646d 3231 3137 3122  rget="#idm21171"
│ │ │ +00073700: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00073710: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00073720: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00073730: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00073740: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00073750: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00073760: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00073770: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00073780: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00073790: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +000737a0: 2220 6964 3d22 6964 6d32 3131 3731 223e  " id="idm21171">
│ │ │ +000737b0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000737c0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000737d0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000737e0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000737f0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00073800: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00073810: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00073820: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00073830: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00073840: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00073850: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00073860: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00073870: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00073880: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00073890: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000738a0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +000738b0: 2072 656d 6f76 655f 7273 680a 0a63 6c61   remove_rsh..cla
│ │ │ +000738c0: 7373 2072 656d 6f76 655f 7273 6820 7b0a  ss remove_rsh {.
│ │ │ +000738d0: 2020 7061 636b 6167 6520 7b20 2772 7368    package { 'rsh
│ │ │ +000738e0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +000738f0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00073900: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00073910: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  00073920: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  00073930: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  00073940: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  00073950: 2263 6869 6c64 7265 6e2d 7863 6364 665f  "children-xccdf_
│ │ │  00073960: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  00073970: 6f6e 7465 6e74 5f67 726f 7570 5f74 616c  ontent_group_tal
│ │ │ @@ -29793,141 +29793,141 @@
│ │ │  00074600: 7461 7267 6574 3d22 2369 646d 3231 3330  target="#idm2130
│ │ │  00074610: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │  00074620: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00074630: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  00074640: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  00074650: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00074660: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00074670: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00074680: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00074690: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000746a0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000746b0: 7365 2220 6964 3d22 6964 6d32 3133 3036  se" id="idm21306
│ │ │ -000746c0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000746d0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000746e0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000746f0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00074700: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00074710: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00074720: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00074730: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00074740: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00074750: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00074760: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00074770: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00074780: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00074790: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -000747a0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -000747b0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -000747c0: 6465 2072 656d 6f76 655f 7461 6c6b 2d73  de remove_talk-s
│ │ │ -000747d0: 6572 7665 720a 0a63 6c61 7373 2072 656d  erver..class rem
│ │ │ -000747e0: 6f76 655f 7461 6c6b 2d73 6572 7665 7220  ove_talk-server 
│ │ │ -000747f0: 7b0a 2020 7061 636b 6167 6520 7b20 2774  {.  package { 't
│ │ │ -00074800: 616c 6b2d 7365 7276 6572 273a 0a20 2020  alk-server':.   
│ │ │ -00074810: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -00074820: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -00074830: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00074840: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00074850: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00074860: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00074870: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00074880: 2369 646d 3231 3330 3722 2074 6162 696e  #idm21307" tabin
│ │ │ -00074890: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000748a0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000748b0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000748c0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -000748d0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -000748e0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -000748f0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00074900: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00074910: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00074920: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00074930: 2269 646d 3231 3330 3722 3e3c 7461 626c  "idm21307"><tabl
│ │ │ -00074940: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00074950: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00074960: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00074970: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00074980: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00074990: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000749a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000749b0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000749c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000749d0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -000749e0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000749f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00074a00: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00074a10: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00074a20: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00074a30: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -00074a40: 7265 2074 616c 6b2d 7365 7276 6572 2069  re talk-server i
│ │ │ -00074a50: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00074a60: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ -00074a70: 616c 6b2d 7365 7276 6572 0a20 2020 2073  alk-server.    s
│ │ │ -00074a80: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -00074a90: 6167 733a 0a20 202d 2050 4349 2d44 5353  ags:.  - PCI-DSS
│ │ │ -00074aa0: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -00074ab0: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -00074ac0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -00074ad0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00074ae0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00074af0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -00074b00: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -00074b10: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00074b20: 202d 2070 6163 6b61 6765 5f74 616c 6b2d   - package_talk-
│ │ │ -00074b30: 7365 7276 6572 5f72 656d 6f76 6564 0a3c  server_removed.<
│ │ │ -00074b40: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00074b50: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00074b60: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00074b70: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00074b80: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00074b90: 2223 6964 6d32 3133 3038 2220 7461 6269  "#idm21308" tabi
│ │ │ -00074ba0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00074bb0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00074bc0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00074bd0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00074be0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00074bf0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -00074c00: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -00074c10: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00074c20: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00074c30: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00074c40: 646d 3231 3330 3822 3e3c 7461 626c 6520  dm21308"><table 
│ │ │ -00074c50: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00074c60: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00074c70: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00074c80: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00074c90: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00074ca0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00074cb0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00074cc0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00074cd0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00074ce0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00074cf0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00074d00: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00074d10: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00074d20: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00074d30: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00074d40: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ -00074d50: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ -00074d60: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ -00074d70: 6520 7461 6c6b 2d73 6572 7665 720a 2309  e talk-server.#.
│ │ │ -00074d80: 2020 2066 726f 6d20 7468 6520 7379 7374     from the syst
│ │ │ -00074d90: 656d 2c20 616e 6420 6d61 7920 7265 6d6f  em, and may remo
│ │ │ -00074da0: 7665 2061 6e79 2070 6163 6b61 6765 730a  ve any packages.
│ │ │ -00074db0: 2309 2020 2074 6861 7420 6465 7065 6e64  #.   that depend
│ │ │ -00074dc0: 206f 6e20 7461 6c6b 2d73 6572 7665 722e   on talk-server.
│ │ │ -00074dd0: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -00074de0: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -00074df0: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -00074e00: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -00074e10: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -00074e20: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -00074e30: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -00074e40: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -00074e50: 2274 616c 6b2d 7365 7276 6572 220a 3c2f  "talk-server".</
│ │ │ +00074670: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00074680: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00074690: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000746a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000746b0: 7073 6522 2069 643d 2269 646d 3231 3330  pse" id="idm2130
│ │ │ +000746c0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +000746d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000746e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +000746f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00074700: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00074710: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00074720: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00074730: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00074740: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00074750: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00074760: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00074770: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00074780: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00074790: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +000747a0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000747b0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +000747c0: 6d65 3a20 456e 7375 7265 2074 616c 6b2d  me: Ensure talk-
│ │ │ +000747d0: 7365 7276 6572 2069 7320 7265 6d6f 7665  server is remove
│ │ │ +000747e0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +000747f0: 206e 616d 653a 2074 616c 6b2d 7365 7276   name: talk-serv
│ │ │ +00074800: 6572 0a20 2020 2073 7461 7465 3a20 6162  er.    state: ab
│ │ │ +00074810: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +00074820: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00074830: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00074840: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +00074850: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00074860: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00074870: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00074880: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00074890: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +000748a0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +000748b0: 6765 5f74 616c 6b2d 7365 7276 6572 5f72  ge_talk-server_r
│ │ │ +000748c0: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +000748d0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000748e0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000748f0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00074900: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00074910: 2d74 6172 6765 743d 2223 6964 6d32 3133  -target="#idm213
│ │ │ +00074920: 3037 2220 7461 6269 6e64 6578 3d22 3022  07" tabindex="0"
│ │ │ +00074930: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00074940: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00074950: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00074960: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00074970: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00074980: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +00074990: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +000749a0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000749b0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000749c0: 6522 2069 643d 2269 646d 3231 3330 3722  e" id="idm21307"
│ │ │ +000749d0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000749e0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000749f0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00074a00: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00074a10: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00074a20: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00074a30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00074a40: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00074a50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00074a60: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00074a70: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00074a80: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00074a90: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00074aa0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00074ab0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00074ac0: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ +00074ad0: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ +00074ae0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ +00074af0: 6c6c 2072 656d 6f76 6520 7461 6c6b 2d73  ll remove talk-s
│ │ │ +00074b00: 6572 7665 720a 2309 2020 2066 726f 6d20  erver.#.   from 
│ │ │ +00074b10: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ +00074b20: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ +00074b30: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ +00074b40: 7420 6465 7065 6e64 206f 6e20 7461 6c6b  t depend on talk
│ │ │ +00074b50: 2d73 6572 7665 722e 2045 7865 6375 7465  -server. Execute
│ │ │ +00074b60: 2074 6869 730a 2309 2020 2072 656d 6564   this.#.   remed
│ │ │ +00074b70: 6961 7469 6f6e 2041 4654 4552 2074 6573  iation AFTER tes
│ │ │ +00074b80: 7469 6e67 206f 6e20 6120 6e6f 6e2d 7072  ting on a non-pr
│ │ │ +00074b90: 6f64 7563 7469 6f6e 0a23 0920 2020 7379  oduction.#.   sy
│ │ │ +00074ba0: 7374 656d 210a 0a44 4542 4941 4e5f 4652  stem!..DEBIAN_FR
│ │ │ +00074bb0: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +00074bc0: 6374 6976 6520 6170 742d 6765 7420 7265  ctive apt-get re
│ │ │ +00074bd0: 6d6f 7665 202d 7920 2274 616c 6b2d 7365  move -y "talk-se
│ │ │ +00074be0: 7276 6572 220a 3c2f 636f 6465 3e3c 2f70  rver".</code></p
│ │ │ +00074bf0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00074c00: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00074c10: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00074c20: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00074c30: 7461 7267 6574 3d22 2369 646d 3231 3330  target="#idm2130
│ │ │ +00074c40: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ +00074c50: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00074c60: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00074c70: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00074c80: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00074c90: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00074ca0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00074cb0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00074cc0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00074cd0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00074ce0: 7365 2220 6964 3d22 6964 6d32 3133 3038  se" id="idm21308
│ │ │ +00074cf0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00074d00: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00074d10: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00074d20: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00074d30: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00074d40: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00074d50: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00074d60: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00074d70: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00074d80: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00074d90: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00074da0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00074db0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00074dc0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +00074dd0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00074de0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00074df0: 6465 2072 656d 6f76 655f 7461 6c6b 2d73  de remove_talk-s
│ │ │ +00074e00: 6572 7665 720a 0a63 6c61 7373 2072 656d  erver..class rem
│ │ │ +00074e10: 6f76 655f 7461 6c6b 2d73 6572 7665 7220  ove_talk-server 
│ │ │ +00074e20: 7b0a 2020 7061 636b 6167 6520 7b20 2774  {.  package { 't
│ │ │ +00074e30: 616c 6b2d 7365 7276 6572 273a 0a20 2020  alk-server':.   
│ │ │ +00074e40: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00074e50: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00074e60: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00074e70: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  00074e80: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  00074e90: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  00074ea0: 6174 612d 7474 2d69 643d 2278 6363 6466  ata-tt-id="xccdf
│ │ │  00074eb0: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  00074ec0: 636f 6e74 656e 745f 7275 6c65 5f70 6163  content_rule_pac
│ │ │ @@ -30092,138 +30092,138 @@
│ │ │  000758b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  000758c0: 2369 646d 3231 3333 3022 2074 6162 696e  #idm21330" tabin
│ │ │  000758d0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  000758e0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  000758f0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00075900: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00075910: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00075920: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00075930: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00075940: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00075950: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00075960: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00075970: 6964 6d32 3133 3330 223e 3c74 6162 6c65  idm21330"><table
│ │ │ -00075980: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00075990: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -000759a0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -000759b0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -000759c0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -000759d0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000759e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -000759f0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00075a00: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00075a10: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00075a20: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00075a30: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00075a40: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00075a50: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00075a60: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00075a70: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ -00075a80: 655f 7461 6c6b 0a0a 636c 6173 7320 7265  e_talk..class re
│ │ │ -00075a90: 6d6f 7665 5f74 616c 6b20 7b0a 2020 7061  move_talk {.  pa
│ │ │ -00075aa0: 636b 6167 6520 7b20 2774 616c 6b27 3a0a  ckage { 'talk':.
│ │ │ -00075ab0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00075ac0: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │ -00075ad0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00075ae0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00075af0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00075b00: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00075b10: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00075b20: 743d 2223 6964 6d32 3133 3331 2220 7461  t="#idm21331" ta
│ │ │ -00075b30: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00075b40: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00075b50: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00075b60: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00075b70: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00075b80: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00075b90: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00075ba0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00075bb0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00075bc0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00075bd0: 6964 3d22 6964 6d32 3133 3331 223e 3c74  id="idm21331"><t
│ │ │ -00075be0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00075bf0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00075c00: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00075c10: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00075c20: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00075c30: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00075c40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00075c50: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00075c60: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00075c70: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00075c80: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00075c90: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00075ca0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00075cb0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00075cc0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00075cd0: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -00075ce0: 6e73 7572 6520 7461 6c6b 2069 7320 7265  nsure talk is re
│ │ │ -00075cf0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -00075d00: 0a20 2020 206e 616d 653a 2074 616c 6b0a  .    name: talk.
│ │ │ -00075d10: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -00075d20: 740a 2020 7461 6773 3a0a 2020 2d20 5043  t.  tags:.  - PC
│ │ │ -00075d30: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -00075d40: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -00075d50: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00075d60: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00075d70: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00075d80: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00075d90: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00075da0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00075db0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00075dc0: 7461 6c6b 5f72 656d 6f76 6564 0a3c 2f63  talk_removed.</c
│ │ │ -00075dd0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00075de0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00075df0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00075e00: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00075e10: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00075e20: 6964 6d32 3133 3332 2220 7461 6269 6e64  idm21332" tabind
│ │ │ -00075e30: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00075e40: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00075e50: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00075e60: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00075e70: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00075e80: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -00075e90: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -00075ea0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00075eb0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00075ec0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00075ed0: 3231 3333 3222 3e3c 7461 626c 6520 636c  21332"><table cl
│ │ │ -00075ee0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00075ef0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00075f00: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00075f10: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00075f20: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00075f30: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00075f40: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00075f50: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00075f60: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00075f70: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00075f80: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00075f90: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00075fa0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00075fb0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00075fc0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00075fd0: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -00075fe0: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -00075ff0: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -00076000: 7461 6c6b 0a23 0920 2020 6672 6f6d 2074  talk.#.   from t
│ │ │ -00076010: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ -00076020: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ -00076030: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ -00076040: 2064 6570 656e 6420 6f6e 2074 616c 6b2e   depend on talk.
│ │ │ -00076050: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -00076060: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -00076070: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -00076080: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -00076090: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -000760a0: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -000760b0: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -000760c0: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -000760d0: 2274 616c 6b22 0a3c 2f63 6f64 653e 3c2f  "talk".</code></
│ │ │ +00075920: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00075930: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00075940: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00075950: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00075960: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00075970: 2269 646d 3231 3333 3022 3e3c 7461 626c  "idm21330"><tabl
│ │ │ +00075980: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00075990: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +000759a0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000759b0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000759c0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000759d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000759e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000759f0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00075a00: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00075a10: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00075a20: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00075a30: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00075a40: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00075a50: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00075a60: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00075a70: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +00075a80: 7265 2074 616c 6b20 6973 2072 656d 6f76  re talk is remov
│ │ │ +00075a90: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00075aa0: 2020 6e61 6d65 3a20 7461 6c6b 0a20 2020    name: talk.   
│ │ │ +00075ab0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00075ac0: 2074 6167 733a 0a20 202d 2050 4349 2d44   tags:.  - PCI-D
│ │ │ +00075ad0: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +00075ae0: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ +00075af0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +00075b00: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00075b10: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00075b20: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00075b30: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00075b40: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00075b50: 0a20 202d 2070 6163 6b61 6765 5f74 616c  .  - package_tal
│ │ │ +00075b60: 6b5f 7265 6d6f 7665 640a 3c2f 636f 6465  k_removed.</code
│ │ │ +00075b70: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00075b80: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00075b90: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00075ba0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00075bb0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00075bc0: 3231 3333 3122 2074 6162 696e 6465 783d  21331" tabindex=
│ │ │ +00075bd0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00075be0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00075bf0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00075c00: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00075c10: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00075c20: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +00075c30: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +00075c40: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00075c50: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00075c60: 6170 7365 2220 6964 3d22 6964 6d32 3133  apse" id="idm213
│ │ │ +00075c70: 3331 223e 3c74 6162 6c65 2063 6c61 7373  31"><table class
│ │ │ +00075c80: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00075c90: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00075ca0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00075cb0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00075cc0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00075cd0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00075ce0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00075cf0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00075d00: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00075d10: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00075d20: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00075d30: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00075d40: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00075d50: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00075d60: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ +00075d70: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ +00075d80: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ +00075d90: 2077 696c 6c20 7265 6d6f 7665 2074 616c   will remove tal
│ │ │ +00075da0: 6b0a 2309 2020 2066 726f 6d20 7468 6520  k.#.   from the 
│ │ │ +00075db0: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ +00075dc0: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ +00075dd0: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ +00075de0: 7065 6e64 206f 6e20 7461 6c6b 2e20 4578  pend on talk. Ex
│ │ │ +00075df0: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ +00075e00: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ +00075e10: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ +00075e20: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ +00075e30: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ +00075e40: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +00075e50: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +00075e60: 6574 2072 656d 6f76 6520 2d79 2022 7461  et remove -y "ta
│ │ │ +00075e70: 6c6b 220a 3c2f 636f 6465 3e3c 2f70 7265  lk".</code></pre
│ │ │ +00075e80: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00075e90: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00075ea0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00075eb0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00075ec0: 7267 6574 3d22 2369 646d 3231 3333 3222  rget="#idm21332"
│ │ │ +00075ed0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00075ee0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00075ef0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00075f00: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00075f10: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00075f20: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00075f30: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00075f40: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00075f50: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00075f60: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00075f70: 2220 6964 3d22 6964 6d32 3133 3332 223e  " id="idm21332">
│ │ │ +00075f80: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00075f90: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00075fa0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00075fb0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00075fc0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00075fd0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00075fe0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00075ff0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00076000: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00076010: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00076020: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00076030: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00076040: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00076050: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00076060: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00076070: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00076080: 2072 656d 6f76 655f 7461 6c6b 0a0a 636c   remove_talk..cl
│ │ │ +00076090: 6173 7320 7265 6d6f 7665 5f74 616c 6b20  ass remove_talk 
│ │ │ +000760a0: 7b0a 2020 7061 636b 6167 6520 7b20 2774  {.  package { 't
│ │ │ +000760b0: 616c 6b27 3a0a 2020 2020 656e 7375 7265  alk':.    ensure
│ │ │ +000760c0: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +000760d0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  000760e0: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  000760f0: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  00076100: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  00076110: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  00076120: 6964 3d22 6368 696c 6472 656e 2d78 6363  id="children-xcc
│ │ │  00076130: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  00076140: 742e 636f 6e74 656e 745f 6772 6f75 705f  t.content_group_
│ │ │ @@ -30593,148 +30593,148 @@
│ │ │  00077800: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  00077810: 6d32 3134 3531 2220 7461 6269 6e64 6578  m21451" tabindex
│ │ │  00077820: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  00077830: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  00077840: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00077850: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00077860: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00077870: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00077880: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00077890: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -000778a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000778b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000778c0: 3231 3435 3122 3e3c 7461 626c 6520 636c  21451"><table cl
│ │ │ -000778d0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000778e0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000778f0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00077900: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00077910: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00077920: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00077930: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00077940: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00077950: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00077960: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00077970: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00077980: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00077990: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -000779a0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000779b0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000779c0: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ -000779d0: 656c 6e65 742d 7365 7276 6572 0a0a 636c  elnet-server..cl
│ │ │ -000779e0: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ -000779f0: 742d 7365 7276 6572 207b 0a20 2070 6163  t-server {.  pac
│ │ │ -00077a00: 6b61 6765 207b 2027 7465 6c6e 6574 2d73  kage { 'telnet-s
│ │ │ -00077a10: 6572 7665 7227 3a0a 2020 2020 656e 7375  erver':.    ensu
│ │ │ -00077a20: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00077a30: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00077a40: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077a50: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077a60: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077a70: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077a80: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00077a90: 3134 3532 2220 7461 6269 6e64 6578 3d22  1452" tabindex="
│ │ │ -00077aa0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00077ab0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00077ac0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00077ad0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00077ae0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00077af0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00077b00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00077b10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077b20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077b30: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00077b40: 3134 3532 223e 3c74 6162 6c65 2063 6c61  1452"><table cla
│ │ │ -00077b50: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00077b60: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00077b70: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00077b80: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00077b90: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00077ba0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077bb0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077bc0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077bd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077be0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077bf0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077c00: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077c10: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00077c20: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00077c30: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00077c40: 206e 616d 653a 2045 6e73 7572 6520 7465   name: Ensure te
│ │ │ -00077c50: 6c6e 6574 2d73 6572 7665 7220 6973 2072  lnet-server is r
│ │ │ -00077c60: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00077c70: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ -00077c80: 6574 2d73 6572 7665 720a 2020 2020 7374  et-server.    st
│ │ │ -00077c90: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ -00077ca0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00077cb0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00077cc0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -00077cd0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -00077ce0: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ -00077cf0: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ -00077d00: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -00077d10: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -00077d20: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ -00077d30: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00077d40: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ -00077d50: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00077d60: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00077d70: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ -00077d80: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -00077d90: 636b 6167 655f 7465 6c6e 6574 2d73 6572  ckage_telnet-ser
│ │ │ -00077da0: 7665 725f 7265 6d6f 7665 640a 3c2f 636f  ver_removed.</co
│ │ │ -00077db0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00077dc0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00077dd0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00077de0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00077df0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00077e00: 646d 3231 3435 3322 2074 6162 696e 6465  dm21453" tabinde
│ │ │ -00077e10: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00077e20: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00077e30: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00077e40: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00077e50: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00077e60: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -00077e70: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -00077e80: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077e90: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077ea0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00077eb0: 3134 3533 223e 3c74 6162 6c65 2063 6c61  1453"><table cla
│ │ │ -00077ec0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00077ed0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00077ee0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00077ef0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00077f00: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00077f10: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077f20: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077f30: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077f40: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077f50: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077f60: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077f70: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077f80: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00077f90: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00077fa0: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ -00077fb0: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ -00077fc0: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ -00077fd0: 7074 2077 696c 6c20 7265 6d6f 7665 2074  pt will remove t
│ │ │ -00077fe0: 656c 6e65 742d 7365 7276 6572 0a23 0920  elnet-server.#. 
│ │ │ -00077ff0: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ -00078000: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ -00078010: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ -00078020: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ -00078030: 6f6e 2074 656c 6e65 742d 7365 7276 6572  on telnet-server
│ │ │ -00078040: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00078050: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00078060: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00078070: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00078080: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -00078090: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -000780a0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -000780b0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -000780c0: 2022 7465 6c6e 6574 2d73 6572 7665 7222   "telnet-server"
│ │ │ +00077870: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00077880: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00077890: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000778a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000778b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000778c0: 6d32 3134 3531 223e 3c74 6162 6c65 2063  m21451"><table c
│ │ │ +000778d0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000778e0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000778f0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00077900: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00077910: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00077920: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00077930: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00077940: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00077950: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00077960: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00077970: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00077980: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00077990: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +000779a0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +000779b0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +000779c0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +000779d0: 7465 6c6e 6574 2d73 6572 7665 7220 6973  telnet-server is
│ │ │ +000779e0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +000779f0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7465  ge:.    name: te
│ │ │ +00077a00: 6c6e 6574 2d73 6572 7665 720a 2020 2020  lnet-server.    
│ │ │ +00077a10: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +00077a20: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +00077a30: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00077a40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00077a50: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +00077a60: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +00077a70: 2d20 5043 492d 4453 532d 5265 712d 322e  - PCI-DSS-Req-2.
│ │ │ +00077a80: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +00077a90: 342d 322e 320a 2020 2d20 5043 492d 4453  4-2.2.  - PCI-DS
│ │ │ +00077aa0: 5376 342d 322e 322e 340a 2020 2d20 6469  Sv4-2.2.4.  - di
│ │ │ +00077ab0: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +00077ac0: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +00077ad0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00077ae0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00077af0: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +00077b00: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00077b10: 7061 636b 6167 655f 7465 6c6e 6574 2d73  package_telnet-s
│ │ │ +00077b20: 6572 7665 725f 7265 6d6f 7665 640a 3c2f  erver_removed.</
│ │ │ +00077b30: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00077b40: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00077b50: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00077b60: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00077b70: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00077b80: 2369 646d 3231 3435 3222 2074 6162 696e  #idm21452" tabin
│ │ │ +00077b90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00077ba0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00077bb0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00077bc0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00077bd0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00077be0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +00077bf0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +00077c00: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00077c10: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00077c20: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00077c30: 6d32 3134 3532 223e 3c74 6162 6c65 2063  m21452"><table c
│ │ │ +00077c40: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00077c50: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00077c60: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00077c70: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00077c80: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00077c90: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00077ca0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00077cb0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00077cc0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00077cd0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00077ce0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00077cf0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00077d00: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00077d10: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00077d20: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00077d30: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ +00077d40: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +00077d50: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +00077d60: 2074 656c 6e65 742d 7365 7276 6572 0a23   telnet-server.#
│ │ │ +00077d70: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +00077d80: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +00077d90: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +00077da0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +00077db0: 6420 6f6e 2074 656c 6e65 742d 7365 7276  d on telnet-serv
│ │ │ +00077dc0: 6572 2e20 4578 6563 7574 6520 7468 6973  er. Execute this
│ │ │ +00077dd0: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ +00077de0: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ +00077df0: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ +00077e00: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ +00077e10: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +00077e20: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +00077e30: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ +00077e40: 2d79 2022 7465 6c6e 6574 2d73 6572 7665  -y "telnet-serve
│ │ │ +00077e50: 7222 0a3c 2f63 6f64 653e 3c2f 7072 653e  r".</code></pre>
│ │ │ +00077e60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00077e70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00077e80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00077e90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00077ea0: 6765 743d 2223 6964 6d32 3134 3533 2220  get="#idm21453" 
│ │ │ +00077eb0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00077ec0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00077ed0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00077ee0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00077ef0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00077f00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00077f10: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00077f20: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00077f30: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00077f40: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00077f50: 2069 643d 2269 646d 3231 3435 3322 3e3c   id="idm21453"><
│ │ │ +00077f60: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00077f70: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00077f80: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00077f90: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00077fa0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00077fb0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00077fc0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00077fd0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00077fe0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00077ff0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00078000: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00078010: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00078020: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00078030: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00078040: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00078050: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00078060: 7265 6d6f 7665 5f74 656c 6e65 742d 7365  remove_telnet-se
│ │ │ +00078070: 7276 6572 0a0a 636c 6173 7320 7265 6d6f  rver..class remo
│ │ │ +00078080: 7665 5f74 656c 6e65 742d 7365 7276 6572  ve_telnet-server
│ │ │ +00078090: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +000780a0: 7465 6c6e 6574 2d73 6572 7665 7227 3a0a  telnet-server':.
│ │ │ +000780b0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +000780c0: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  000780d0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  000780e0: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  000780f0: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  00078100: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c74  ble></td></tr><t
│ │ │  00078110: 7220 6461 7461 2d74 742d 6964 3d22 7863  r data-tt-id="xc
│ │ │  00078120: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00078130: 6374 2e63 6f6e 7465 6e74 5f72 756c 655f  ct.content_rule_
│ │ │ @@ -30904,140 +30904,140 @@
│ │ │  00078b70: 2d74 6172 6765 743d 2223 6964 6d32 3134  -target="#idm214
│ │ │  00078b80: 3830 2220 7461 6269 6e64 6578 3d22 3022  80" tabindex="0"
│ │ │  00078b90: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00078ba0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00078bb0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00078bc0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00078bd0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00078be0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00078bf0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00078c00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00078c10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00078c20: 7073 6522 2069 643d 2269 646d 3231 3438  pse" id="idm2148
│ │ │ -00078c30: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ -00078c40: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00078c50: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00078c60: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00078c70: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00078c80: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00078c90: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00078ca0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00078cb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00078cc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00078cd0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00078ce0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00078cf0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00078d00: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00078d10: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00078d20: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00078d30: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -00078d40: 740a 0a63 6c61 7373 2072 656d 6f76 655f  t..class remove_
│ │ │ -00078d50: 7465 6c6e 6574 207b 0a20 2070 6163 6b61  telnet {.  packa
│ │ │ -00078d60: 6765 207b 2027 7465 6c6e 6574 273a 0a20  ge { 'telnet':. 
│ │ │ -00078d70: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00078d80: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00078d90: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00078da0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00078db0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00078dc0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00078dd0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00078de0: 3d22 2369 646d 3231 3438 3122 2074 6162  ="#idm21481" tab
│ │ │ -00078df0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00078e00: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00078e10: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00078e20: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00078e30: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00078e40: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00078e50: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00078e60: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00078e70: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00078e80: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00078e90: 643d 2269 646d 3231 3438 3122 3e3c 7461  d="idm21481"><ta
│ │ │ -00078ea0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00078eb0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00078ec0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00078ed0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00078ee0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00078ef0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00078f00: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00078f10: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00078f20: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00078f30: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00078f40: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00078f50: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00078f60: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00078f70: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00078f80: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00078f90: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00078fa0: 7375 7265 2074 656c 6e65 7420 6973 2072  sure telnet is r
│ │ │ -00078fb0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00078fc0: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ -00078fd0: 6574 0a20 2020 2073 7461 7465 3a20 6162  et.    state: ab
│ │ │ -00078fe0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00078ff0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -00079000: 312e 3133 0a20 202d 2050 4349 2d44 5353  1.13.  - PCI-DSS
│ │ │ -00079010: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -00079020: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -00079030: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -00079040: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00079050: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00079060: 7074 696f 6e0a 2020 2d20 6c6f 775f 7365  ption.  - low_se
│ │ │ -00079070: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00079080: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00079090: 7061 636b 6167 655f 7465 6c6e 6574 5f72  package_telnet_r
│ │ │ -000790a0: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ -000790b0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -000790c0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -000790d0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -000790e0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -000790f0: 2d74 6172 6765 743d 2223 6964 6d32 3134  -target="#idm214
│ │ │ -00079100: 3832 2220 7461 6269 6e64 6578 3d22 3022  82" tabindex="0"
│ │ │ -00079110: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00079120: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00079130: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00079140: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00079150: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00079160: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -00079170: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -00079180: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00079190: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -000791a0: 6522 2069 643d 2269 646d 3231 3438 3222  e" id="idm21482"
│ │ │ -000791b0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -000791c0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -000791d0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -000791e0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -000791f0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00079200: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00079210: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00079220: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00079230: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00079240: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00079250: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00079260: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00079270: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00079280: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00079290: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000792a0: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -000792b0: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -000792c0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -000792d0: 6c6c 2072 656d 6f76 6520 7465 6c6e 6574  ll remove telnet
│ │ │ -000792e0: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ -000792f0: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ -00079300: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ -00079310: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ -00079320: 656e 6420 6f6e 2074 656c 6e65 742e 2045  end on telnet. E
│ │ │ -00079330: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -00079340: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -00079350: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -00079360: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -00079370: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -00079380: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -00079390: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -000793a0: 6765 7420 7265 6d6f 7665 202d 7920 2274  get remove -y "t
│ │ │ -000793b0: 656c 6e65 7422 0a3c 2f63 6f64 653e 3c2f  elnet".</code></
│ │ │ +00078be0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00078bf0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00078c00: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00078c10: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00078c20: 6170 7365 2220 6964 3d22 6964 6d32 3134  apse" id="idm214
│ │ │ +00078c30: 3830 223e 3c74 6162 6c65 2063 6c61 7373  80"><table class
│ │ │ +00078c40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00078c50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00078c60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00078c70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00078c80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00078c90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00078ca0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00078cb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00078cc0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00078cd0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00078ce0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00078cf0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00078d00: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00078d10: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00078d20: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00078d30: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +00078d40: 6574 2069 7320 7265 6d6f 7665 640a 2020  et is removed.  
│ │ │ +00078d50: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +00078d60: 653a 2074 656c 6e65 740a 2020 2020 7374  e: telnet.    st
│ │ │ +00078d70: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +00078d80: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00078d90: 2d31 3731 2d33 2e31 2e31 330a 2020 2d20  -171-3.1.13.  - 
│ │ │ +00078da0: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +00078db0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +00078dc0: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ +00078dd0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00078de0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00078df0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00078e00: 206c 6f77 5f73 6576 6572 6974 790a 2020   low_severity.  
│ │ │ +00078e10: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00078e20: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ +00078e30: 656c 6e65 745f 7265 6d6f 7665 640a 3c2f  elnet_removed.</
│ │ │ +00078e40: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00078e50: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00078e60: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00078e70: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00078e80: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00078e90: 2369 646d 3231 3438 3122 2074 6162 696e  #idm21481" tabin
│ │ │ +00078ea0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00078eb0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00078ec0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00078ed0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00078ee0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00078ef0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +00078f00: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +00078f10: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00078f20: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00078f30: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00078f40: 6d32 3134 3831 223e 3c74 6162 6c65 2063  m21481"><table c
│ │ │ +00078f50: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00078f60: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00078f70: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00078f80: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00078f90: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00078fa0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00078fb0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00078fc0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00078fd0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00078fe0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00078ff0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00079000: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00079010: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00079020: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00079030: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00079040: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ +00079050: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +00079060: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +00079070: 2074 656c 6e65 740a 2309 2020 2066 726f   telnet.#.   fro
│ │ │ +00079080: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ +00079090: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ +000790a0: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ +000790b0: 6861 7420 6465 7065 6e64 206f 6e20 7465  hat depend on te
│ │ │ +000790c0: 6c6e 6574 2e20 4578 6563 7574 6520 7468  lnet. Execute th
│ │ │ +000790d0: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ +000790e0: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ +000790f0: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ +00079100: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ +00079110: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ +00079120: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +00079130: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ +00079140: 6520 2d79 2022 7465 6c6e 6574 220a 3c2f  e -y "telnet".</
│ │ │ +00079150: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00079160: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00079170: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00079180: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00079190: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000791a0: 2369 646d 3231 3438 3222 2074 6162 696e  #idm21482" tabin
│ │ │ +000791b0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000791c0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000791d0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000791e0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000791f0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00079200: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00079210: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00079220: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00079230: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00079240: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00079250: 6964 6d32 3134 3832 223e 3c74 6162 6c65  idm21482"><table
│ │ │ +00079260: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00079270: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00079280: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00079290: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000792a0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000792b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000792c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +000792d0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000792e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000792f0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00079300: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00079310: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00079320: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00079330: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00079340: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00079350: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00079360: 655f 7465 6c6e 6574 0a0a 636c 6173 7320  e_telnet..class 
│ │ │ +00079370: 7265 6d6f 7665 5f74 656c 6e65 7420 7b0a  remove_telnet {.
│ │ │ +00079380: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ +00079390: 6e65 7427 3a0a 2020 2020 656e 7375 7265  net':.    ensure
│ │ │ +000793a0: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +000793b0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  000793c0: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  000793d0: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  000793e0: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  000793f0: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  00079400: 6964 3d22 6368 696c 6472 656e 2d78 6363  id="children-xcc
│ │ │  00079410: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  00079420: 742e 636f 6e74 656e 745f 6772 6f75 705f  t.content_group_
│ │ │ @@ -31372,145 +31372,145 @@
│ │ │  0007a8b0: 6765 743d 2223 6964 6d32 3135 3934 2220  get="#idm21594" 
│ │ │  0007a8c0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0007a8d0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  0007a8e0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  0007a8f0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  0007a900: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  0007a910: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0007a920: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0007a930: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0007a940: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0007a950: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0007a960: 2069 643d 2269 646d 3231 3539 3422 3e3c   id="idm21594"><
│ │ │ -0007a970: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0007a980: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0007a990: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0007a9a0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0007a9b0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0007a9c0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0007a9d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007a9e0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0007a9f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007aa00: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0007aa10: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0007aa20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007aa30: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0007aa40: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -0007aa50: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0007aa60: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -0007aa70: 7265 6d6f 7665 5f74 6674 702d 7365 7276  remove_tftp-serv
│ │ │ -0007aa80: 6572 0a0a 636c 6173 7320 7265 6d6f 7665  er..class remove
│ │ │ -0007aa90: 5f74 6674 702d 7365 7276 6572 207b 0a20  _tftp-server {. 
│ │ │ -0007aaa0: 2070 6163 6b61 6765 207b 2027 7466 7470   package { 'tftp
│ │ │ -0007aab0: 2d73 6572 7665 7227 3a0a 2020 2020 656e  -server':.    en
│ │ │ -0007aac0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -0007aad0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -0007aae0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0007aaf0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0007ab00: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0007ab10: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0007ab20: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0007ab30: 6d32 3135 3935 2220 7461 6269 6e64 6578  m21595" tabindex
│ │ │ -0007ab40: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0007ab50: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0007ab60: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0007ab70: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0007ab80: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0007ab90: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -0007aba0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -0007abb0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007abc0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007abd0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007abe0: 6d32 3135 3935 223e 3c74 6162 6c65 2063  m21595"><table c
│ │ │ -0007abf0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0007ac00: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0007ac10: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0007ac20: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0007ac30: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0007ac40: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007ac50: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0007ac60: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0007ac70: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007ac80: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0007ac90: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0007aca0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0007acb0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0007acc0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007acd0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007ace0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -0007acf0: 7466 7470 2d73 6572 7665 7220 6973 2072  tftp-server is r
│ │ │ -0007ad00: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -0007ad10: 3a0a 2020 2020 6e61 6d65 3a20 7466 7470  :.    name: tftp
│ │ │ -0007ad20: 2d73 6572 7665 720a 2020 2020 7374 6174  -server.    stat
│ │ │ -0007ad30: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -0007ad40: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0007ad50: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0007ad60: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -0007ad70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0007ad80: 332d 434d 2d37 2862 290a 2020 2d20 5043  3-CM-7(b).  - PC
│ │ │ -0007ad90: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -0007ada0: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -0007adb0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0007adc0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -0007add0: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -0007ade0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0007adf0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0007ae00: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0007ae10: 640a 2020 2d20 7061 636b 6167 655f 7466  d.  - package_tf
│ │ │ -0007ae20: 7470 2d73 6572 7665 725f 7265 6d6f 7665  tp-server_remove
│ │ │ -0007ae30: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -0007ae40: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0007ae50: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0007ae60: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0007ae70: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0007ae80: 6574 3d22 2369 646d 3231 3539 3622 2074  et="#idm21596" t
│ │ │ -0007ae90: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007aea0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007aeb0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007aec0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007aed0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007aee0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007aef0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -0007af00: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007af10: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007af20: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007af30: 3d22 6964 6d32 3135 3936 223e 3c74 6162  ="idm21596"><tab
│ │ │ -0007af40: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007af50: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007af60: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007af70: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007af80: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007af90: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007afa0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007afb0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007afc0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007afd0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007afe0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007aff0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007b000: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007b010: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -0007b020: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -0007b030: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ -0007b040: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ -0007b050: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ -0007b060: 6d6f 7665 2074 6674 702d 7365 7276 6572  move tftp-server
│ │ │ -0007b070: 0a23 0920 2020 6672 6f6d 2074 6865 2073  .#.   from the s
│ │ │ -0007b080: 7973 7465 6d2c 2061 6e64 206d 6179 2072  ystem, and may r
│ │ │ -0007b090: 656d 6f76 6520 616e 7920 7061 636b 6167  emove any packag
│ │ │ -0007b0a0: 6573 0a23 0920 2020 7468 6174 2064 6570  es.#.   that dep
│ │ │ -0007b0b0: 656e 6420 6f6e 2074 6674 702d 7365 7276  end on tftp-serv
│ │ │ -0007b0c0: 6572 2e20 4578 6563 7574 6520 7468 6973  er. Execute this
│ │ │ -0007b0d0: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ -0007b0e0: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ -0007b0f0: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ -0007b100: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ -0007b110: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -0007b120: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -0007b130: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ -0007b140: 2d79 2022 7466 7470 2d73 6572 7665 7222  -y "tftp-server"
│ │ │ +0007a920: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +0007a930: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007a940: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007a950: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007a960: 2220 6964 3d22 6964 6d32 3135 3934 223e  " id="idm21594">
│ │ │ +0007a970: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0007a980: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0007a990: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0007a9a0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0007a9b0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0007a9c0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0007a9d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007a9e0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0007a9f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007aa00: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0007aa10: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0007aa20: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0007aa30: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0007aa40: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +0007aa50: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +0007aa60: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +0007aa70: 2045 6e73 7572 6520 7466 7470 2d73 6572   Ensure tftp-ser
│ │ │ +0007aa80: 7665 7220 6973 2072 656d 6f76 6564 0a20  ver is removed. 
│ │ │ +0007aa90: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0007aaa0: 6d65 3a20 7466 7470 2d73 6572 7665 720a  me: tftp-server.
│ │ │ +0007aab0: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +0007aac0: 740a 2020 7461 6773 3a0a 2020 2d20 4e49  t.  tags:.  - NI
│ │ │ +0007aad0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0007aae0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0007aaf0: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ +0007ab00: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ +0007ab10: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ +0007ab20: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +0007ab30: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ +0007ab40: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0007ab50: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ +0007ab60: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +0007ab70: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +0007ab80: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ +0007ab90: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +0007aba0: 636b 6167 655f 7466 7470 2d73 6572 7665  ckage_tftp-serve
│ │ │ +0007abb0: 725f 7265 6d6f 7665 640a 3c2f 636f 6465  r_removed.</code
│ │ │ +0007abc0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007abd0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007abe0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007abf0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007ac00: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007ac10: 3231 3539 3522 2074 6162 696e 6465 783d  21595" tabindex=
│ │ │ +0007ac20: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007ac30: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007ac40: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007ac50: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007ac60: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007ac70: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +0007ac80: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +0007ac90: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007aca0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007acb0: 6170 7365 2220 6964 3d22 6964 6d32 3135  apse" id="idm215
│ │ │ +0007acc0: 3935 223e 3c74 6162 6c65 2063 6c61 7373  95"><table class
│ │ │ +0007acd0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007ace0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007acf0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007ad00: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007ad10: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007ad20: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007ad30: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007ad40: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007ad50: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007ad60: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007ad70: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007ad80: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007ad90: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007ada0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007adb0: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ +0007adc0: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ +0007add0: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ +0007ade0: 2077 696c 6c20 7265 6d6f 7665 2074 6674   will remove tft
│ │ │ +0007adf0: 702d 7365 7276 6572 0a23 0920 2020 6672  p-server.#.   fr
│ │ │ +0007ae00: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +0007ae10: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +0007ae20: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +0007ae30: 7468 6174 2064 6570 656e 6420 6f6e 2074  that depend on t
│ │ │ +0007ae40: 6674 702d 7365 7276 6572 2e20 4578 6563  ftp-server. Exec
│ │ │ +0007ae50: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ +0007ae60: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ +0007ae70: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ +0007ae80: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ +0007ae90: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ +0007aea0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ +0007aeb0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ +0007aec0: 2072 656d 6f76 6520 2d79 2022 7466 7470   remove -y "tftp
│ │ │ +0007aed0: 2d73 6572 7665 7222 0a3c 2f63 6f64 653e  -server".</code>
│ │ │ +0007aee0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007aef0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007af00: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007af10: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007af20: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +0007af30: 3135 3936 2220 7461 6269 6e64 6578 3d22  1596" tabindex="
│ │ │ +0007af40: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007af50: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007af60: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007af70: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007af80: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007af90: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0007afa0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007afb0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007afc0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007afd0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +0007afe0: 3539 3622 3e3c 7461 626c 6520 636c 6173  596"><table clas
│ │ │ +0007aff0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0007b000: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0007b010: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0007b020: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0007b030: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0007b040: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0007b050: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0007b060: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0007b070: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007b080: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0007b090: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0007b0a0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0007b0b0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +0007b0c0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0007b0d0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +0007b0e0: 636c 7564 6520 7265 6d6f 7665 5f74 6674  clude remove_tft
│ │ │ +0007b0f0: 702d 7365 7276 6572 0a0a 636c 6173 7320  p-server..class 
│ │ │ +0007b100: 7265 6d6f 7665 5f74 6674 702d 7365 7276  remove_tftp-serv
│ │ │ +0007b110: 6572 207b 0a20 2070 6163 6b61 6765 207b  er {.  package {
│ │ │ +0007b120: 2027 7466 7470 2d73 6572 7665 7227 3a0a   'tftp-server':.
│ │ │ +0007b130: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +0007b140: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  0007b150: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  0007b160: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  0007b170: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  0007b180: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c74  ble></td></tr><t
│ │ │  0007b190: 7220 6461 7461 2d74 742d 6964 3d22 7863  r data-tt-id="xc
│ │ │  0007b1a0: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  0007b1b0: 6374 2e63 6f6e 7465 6e74 5f72 756c 655f  ct.content_rule_
│ │ │ @@ -31671,137 +31671,137 @@
│ │ │  0007bb60: 743d 2223 6964 6d32 3136 3132 2220 7461  t="#idm21612" ta
│ │ │  0007bb70: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0007bb80: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0007bb90: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0007bba0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0007bbb0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0007bbc0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007bbd0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -0007bbe0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0007bbf0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0007bc00: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0007bc10: 643d 2269 646d 3231 3631 3222 3e3c 7461  d="idm21612"><ta
│ │ │ -0007bc20: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0007bc30: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0007bc40: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0007bc50: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0007bc60: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0007bc70: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0007bc80: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0007bc90: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0007bca0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0007bcb0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0007bcc0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0007bcd0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0007bce0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0007bcf0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -0007bd00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0007bd10: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -0007bd20: 6d6f 7665 5f74 6674 700a 0a63 6c61 7373  move_tftp..class
│ │ │ -0007bd30: 2072 656d 6f76 655f 7466 7470 207b 0a20   remove_tftp {. 
│ │ │ -0007bd40: 2070 6163 6b61 6765 207b 2027 7466 7470   package { 'tftp
│ │ │ -0007bd50: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -0007bd60: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -0007bd70: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0007bd80: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0007bd90: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0007bda0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0007bdb0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0007bdc0: 7267 6574 3d22 2369 646d 3231 3631 3322  rget="#idm21613"
│ │ │ -0007bdd0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0007bde0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0007bdf0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0007be00: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0007be10: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0007be20: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0007be30: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -0007be40: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0007be50: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0007be60: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0007be70: 6522 2069 643d 2269 646d 3231 3631 3322  e" id="idm21613"
│ │ │ -0007be80: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0007be90: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0007bea0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0007beb0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0007bec0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0007bed0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0007bee0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007bef0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0007bf00: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007bf10: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0007bf20: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0007bf30: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0007bf40: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0007bf50: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0007bf60: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0007bf70: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0007bf80: 3a20 456e 7375 7265 2074 6674 7020 6973  : Ensure tftp is
│ │ │ -0007bf90: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ -0007bfa0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7466  ge:.    name: tf
│ │ │ -0007bfb0: 7470 0a20 2020 2073 7461 7465 3a20 6162  tp.    state: ab
│ │ │ -0007bfc0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -0007bfd0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ -0007bfe0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -0007bff0: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ -0007c000: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0007c010: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0007c020: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0007c030: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ -0007c040: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0007c050: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0007c060: 7466 7470 5f72 656d 6f76 6564 0a3c 2f63  tftp_removed.</c
│ │ │ -0007c070: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0007c080: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0007c090: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0007c0a0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0007c0b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0007c0c0: 6964 6d32 3136 3134 2220 7461 6269 6e64  idm21614" tabind
│ │ │ -0007c0d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0007c0e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0007c0f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0007c100: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0007c110: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0007c120: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -0007c130: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -0007c140: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0007c150: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0007c160: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0007c170: 3231 3631 3422 3e3c 7461 626c 6520 636c  21614"><table cl
│ │ │ -0007c180: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0007c190: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0007c1a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0007c1b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0007c1c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0007c1d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007c1e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0007c1f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0007c200: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007c210: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0007c220: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0007c230: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0007c240: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0007c250: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0007c260: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0007c270: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -0007c280: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -0007c290: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -0007c2a0: 7466 7470 0a23 0920 2020 6672 6f6d 2074  tftp.#.   from t
│ │ │ -0007c2b0: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ -0007c2c0: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ -0007c2d0: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ -0007c2e0: 2064 6570 656e 6420 6f6e 2074 6674 702e   depend on tftp.
│ │ │ -0007c2f0: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -0007c300: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -0007c310: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -0007c320: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -0007c330: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -0007c340: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -0007c350: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -0007c360: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -0007c370: 2274 6674 7022 0a3c 2f63 6f64 653e 3c2f  "tftp".</code></
│ │ │ +0007bbd0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0007bbe0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007bbf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007bc00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007bc10: 6964 3d22 6964 6d32 3136 3132 223e 3c74  id="idm21612"><t
│ │ │ +0007bc20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0007bc30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0007bc40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0007bc50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0007bc60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0007bc70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0007bc80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007bc90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0007bca0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007bcb0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0007bcc0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0007bcd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007bce0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0007bcf0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0007bd00: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007bd10: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +0007bd20: 6e73 7572 6520 7466 7470 2069 7320 7265  nsure tftp is re
│ │ │ +0007bd30: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +0007bd40: 0a20 2020 206e 616d 653a 2074 6674 700a  .    name: tftp.
│ │ │ +0007bd50: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +0007bd60: 740a 2020 7461 6773 3a0a 2020 2d20 5043  t.  tags:.  - PC
│ │ │ +0007bd70: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ +0007bd80: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ +0007bd90: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +0007bda0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +0007bdb0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0007bdc0: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ +0007bdd0: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ +0007bde0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0007bdf0: 0a20 202d 2070 6163 6b61 6765 5f74 6674  .  - package_tft
│ │ │ +0007be00: 705f 7265 6d6f 7665 640a 3c2f 636f 6465  p_removed.</code
│ │ │ +0007be10: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007be20: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007be30: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007be40: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007be50: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007be60: 3231 3631 3322 2074 6162 696e 6465 783d  21613" tabindex=
│ │ │ +0007be70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007be80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007be90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007bea0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007beb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007bec0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +0007bed0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +0007bee0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007bef0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007bf00: 6170 7365 2220 6964 3d22 6964 6d32 3136  apse" id="idm216
│ │ │ +0007bf10: 3133 223e 3c74 6162 6c65 2063 6c61 7373  13"><table class
│ │ │ +0007bf20: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007bf30: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007bf40: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007bf50: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007bf60: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007bf70: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007bf80: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007bf90: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007bfa0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007bfb0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007bfc0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007bfd0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007bfe0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007bff0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007c000: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ +0007c010: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ +0007c020: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ +0007c030: 2077 696c 6c20 7265 6d6f 7665 2074 6674   will remove tft
│ │ │ +0007c040: 700a 2309 2020 2066 726f 6d20 7468 6520  p.#.   from the 
│ │ │ +0007c050: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ +0007c060: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ +0007c070: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ +0007c080: 7065 6e64 206f 6e20 7466 7470 2e20 4578  pend on tftp. Ex
│ │ │ +0007c090: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ +0007c0a0: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ +0007c0b0: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ +0007c0c0: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ +0007c0d0: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ +0007c0e0: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +0007c0f0: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +0007c100: 6574 2072 656d 6f76 6520 2d79 2022 7466  et remove -y "tf
│ │ │ +0007c110: 7470 220a 3c2f 636f 6465 3e3c 2f70 7265  tp".</code></pre
│ │ │ +0007c120: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0007c130: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0007c140: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0007c150: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0007c160: 7267 6574 3d22 2369 646d 3231 3631 3422  rget="#idm21614"
│ │ │ +0007c170: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0007c180: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0007c190: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0007c1a0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0007c1b0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0007c1c0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0007c1d0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +0007c1e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007c1f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007c200: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007c210: 2220 6964 3d22 6964 6d32 3136 3134 223e  " id="idm21614">
│ │ │ +0007c220: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0007c230: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0007c240: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0007c250: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0007c260: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0007c270: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0007c280: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007c290: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0007c2a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007c2b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0007c2c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0007c2d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0007c2e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0007c2f0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +0007c300: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +0007c310: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +0007c320: 2072 656d 6f76 655f 7466 7470 0a0a 636c   remove_tftp..cl
│ │ │ +0007c330: 6173 7320 7265 6d6f 7665 5f74 6674 7020  ass remove_tftp 
│ │ │ +0007c340: 7b0a 2020 7061 636b 6167 6520 7b20 2774  {.  package { 't
│ │ │ +0007c350: 6674 7027 3a0a 2020 2020 656e 7375 7265  ftp':.    ensure
│ │ │ +0007c360: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +0007c370: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  0007c380: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  0007c390: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  0007c3a0: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  0007c3b0: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  0007c3c0: 626c 653e 3c2f 6469 763e 3c64 6976 2069  ble></div><div i
│ │ │  0007c3d0: 643d 2272 6561 722d 6d61 7474 6572 223e  d="rear-matter">
│ │ │  0007c3e0: 3c64 6976 2063 6c61 7373 3d22 726f 7720  <div class="row
│ │ │ ├── html2text {}
│ │ │ │ @@ -1904,31 +1904,14 @@
│ │ │ │  Rationale:  effectiveness of a password in resisting attempts at guessing and brute-force
│ │ │ │              attacks. "pwquality" enforces complex password construction configuration and has
│ │ │ │              the ability to limit brute-force attacks on the system.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │  References: _d_i_s_a   CCI-000366
│ │ │ │              _o_s_-_s_r_g SRG-OS-000480-GPOS-00225
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1963,14 +1946,31 @@
│ │ │ │  -q '^installed'; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-pwquality"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Protect Accounts by Restricting Password-Based Login   Group contains 2 groups and 2
│ │ │ │  rules
│ │ │ │  _[_r_e_f_]   Conventionally, Unix shell accounts are accessed by providing a username and password
│ │ │ │  to a login program, which tests these values for correctness using the /etc/passwd and /etc/
│ │ │ │  shadow files. Password-based login is vulnerable to guessing of weak passwords, and to
│ │ │ │  sniffing and man-in-the-middle attacks against passwords entered over a network or at an
│ │ │ │  insecure console. Therefore, mechanisms for accessing accounts by entering usernames and
│ │ │ │ @@ -2558,26 +2558,14 @@
│ │ │ │                             2.3, SR 2.4, SR 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │ @@ -2604,33 +2592,33 @@
│ │ │ │  # CAUTION: This remediation script will remove dhcp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on dhcp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "dhcp"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │ -Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally
│ │ │ │ -            reactivated and disrupt network operation.
│ │ │ │ -Severity:   medium
│ │ │ │ -Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │ -References: _a_n_s_s_i R62
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_kea
│ │ │ │ +include remove_dhcp
│ │ │ │  
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │ +Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally
│ │ │ │ +            reactivated and disrupt network operation.
│ │ │ │ +Severity:   medium
│ │ │ │ +Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │ +References: _a_n_s_s_i R62
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │ @@ -2652,14 +2640,26 @@
│ │ │ │  # CAUTION: This remediation script will remove kea
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on kea. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "kea"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Mail Server Software   Group contains 1 rule
│ │ │ │  _[_r_e_f_]   Mail servers are used to send and receive email over the network. Mail is a very
│ │ │ │  common service, and Mail Transfer Agents (MTAs) are obvious targets of network attack. Ensure
│ │ │ │  that systems are not running MTAs unnecessarily, and configure needed MTAs as defensively as
│ │ │ │  possible.
│ │ │ │  
│ │ │ │  Very few systems at any site should be configured to directly receive email over the network.
│ │ │ │ @@ -2697,26 +2697,14 @@
│ │ │ │                             2.3, SR 2.4, SR 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227, SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2763,14 +2751,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "sendmail"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Obsolete Services   Group contains 6 groups and 11 rules
│ │ │ │  _[_r_e_f_]   This section discusses a number of network-visible services which have historically
│ │ │ │  caused problems for system security, and for which disabling or severely limiting the service
│ │ │ │  has been the best available guidance for some time. As a result of this, many of these
│ │ │ │  services are not installed as part of Debian 12 by default.
│ │ │ │  
│ │ │ │  Organizations which are running these services should switch to more secure equivalents as
│ │ │ │ @@ -2806,26 +2806,14 @@
│ │ │ │                             4.1, SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1,
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2876,14 +2864,26 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "xinetd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   NIS   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Information Service (NIS), also known as 'Yellow Pages' (YP), and its
│ │ │ │  successor NIS+ have been made obsolete by Kerberos, LDAP, and other modern centralized
│ │ │ │  authentication services. NIS should not be used because it suffers from security problems
│ │ │ │  inherent in its design, such as inadequate protection of important authentication
│ │ │ │  information.
│ │ │ │  ****** RRuullee? ?  RReemmoovvee NNIISS CClliieenntt ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ @@ -2897,26 +2897,14 @@
│ │ │ │              Protocol (LDAP). It is recommended that the service be removed.
│ │ │ │  Severity:   unknown
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_ypbind_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)
│ │ │ │  References:         (1), 164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │ @@ -2940,14 +2928,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ypbind-mt
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypbind-mt. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypbind-mt"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll yyppsseerrvv PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ypserv package can be removed with the following command:
│ │ │ │  $ apt-get remove ypserv
│ │ │ │              The NIS service provides an unencrypted authentication service which does not
│ │ │ │  Rationale:  provide for the confidentiality and integrity of user passwords or the remote
│ │ │ │              session. Removing the ypserv package decreases the risk of the accidental (or
│ │ │ │              intentional) activation of NIS or NIS+ services.
│ │ │ │ @@ -2971,26 +2971,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │ @@ -3019,14 +3007,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ypserv
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypserv. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypserv"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Rlogin, Rsh, and Rexec   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Berkeley r-commands are legacy services which allow cleartext remote access and
│ │ │ │  have an insecure trust model.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll rrsshh--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsh-server package can be removed with the following command:
│ │ │ │  $ apt-get remove rsh-server
│ │ │ │              The rsh-server service provides unencrypted remote access service which does not
│ │ │ │ @@ -3054,26 +3054,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1,
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │ @@ -3101,14 +3089,26 @@
│ │ │ │  # CAUTION: This remediation script will remove rsh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll rrsshh PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsh package contains the client commands for the rsh services
│ │ │ │              These legacy clients contain numerous security exposures and have been replaced
│ │ │ │              with the more secure SSH package. Even if the server is removed, it is best to
│ │ │ │  Rationale:  ensure the clients are also removed to prevent users from inadvertently
│ │ │ │              attempting to use these commands and therefore exposing their credentials. Note
│ │ │ │              that removing the rsh package removes the clients for rsh,rcp, and rlogin.
│ │ │ │ @@ -3116,26 +3116,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsh_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312
│ │ │ │  References:               (e)(1), 164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │ @@ -3160,14 +3148,26 @@
│ │ │ │  # CAUTION: This remediation script will remove rsh
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Chat/Messaging Services   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The talk software makes it possible for users to send and receive messages across
│ │ │ │  systems through a terminal session.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttaallkk--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The talk-server package can be removed with the following command:
│ │ │ │   $ apt-get remove talk-server
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols for
│ │ │ │ @@ -3175,26 +3175,14 @@
│ │ │ │              accidental (or intentional) activation of talk services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk-server_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)
│ │ │ │  References:         (1), 164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │ @@ -3218,14 +3206,26 @@
│ │ │ │  # CAUTION: This remediation script will remove talk-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttaallkk PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The talk package contains the client program for the Internet talk protocol, which allows
│ │ │ │  the user to chat with other users on different systems. Talk is a communication program
│ │ │ │  which copies lines from one terminal to the terminal of another user. The talk package can
│ │ │ │  be removed with the following command:
│ │ │ │  $ apt-get remove talk
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols for
│ │ │ │ @@ -3233,26 +3233,14 @@
│ │ │ │              (or intentional) activation of talk client program.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)
│ │ │ │  References:         (1), 164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │ @@ -3276,14 +3264,26 @@
│ │ │ │  # CAUTION: This remediation script will remove talk
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Telnet   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The telnet protocol does not provide confidentiality or integrity for information
│ │ │ │  transmitted on the network. This includes authentication information such as passwords.
│ │ │ │  Organizations which use telnet should be actively working to migrate to a more secure
│ │ │ │  protocol.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tteellnneett--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet-server package can be removed with the following command:
│ │ │ │ @@ -3318,26 +3318,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │ @@ -3365,40 +3353,40 @@
│ │ │ │  # CAUTION: This remediation script will remove telnet-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  RReemmoovvee tteellnneett CClliieennttss ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet client allows users to start connections to other systems via the telnet protocol.
│ │ │ │              The telnet protocol is insecure and unencrypted. The use of an unencrypted
│ │ │ │  Rationale:  transmission medium could allow an unauthorized user to steal credentials. The
│ │ │ │              ssh package provides an encrypted session and stronger security and is included
│ │ │ │              in Debian 12.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnet_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312
│ │ │ │  References:               (e)(1), 164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │ @@ -3423,14 +3411,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnet
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   TFTP Server   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   TFTP is a lightweight version of the FTP protocol which has traditionally been used
│ │ │ │  to configure networking equipment. However, TFTP provides little security, and modern
│ │ │ │  versions of networking operating systems frequently support configuration via SSH or other
│ │ │ │  more secure protocols. A TFTP server should be run only if no more secure method of
│ │ │ │  supporting existing equipment can be found.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll ttffttpp--sseerrvveerr PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ @@ -3460,26 +3460,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1,
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │ @@ -3506,40 +3494,40 @@
│ │ │ │  # CAUTION: This remediation script will remove tftp-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp-server"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  RReemmoovvee ttffttpp DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Trivial File Transfer Protocol (TFTP) is a simple file transfer protocol, typically used to
│ │ │ │  automatically transfer configuration or boot files between systems. TFTP does not support
│ │ │ │  authentication and can be easily hacked. The package tftp is a client program that allows for
│ │ │ │  connections to a tftp server.
│ │ │ │              It is recommended that TFTP be removed, unless there is a specific need for TFTP
│ │ │ │  Rationale:  (such as a boot server). In that case, use extreme caution when configuring the
│ │ │ │              services.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_tftp_removed
│ │ │ │              _d_i_s_a    CCI-000197
│ │ │ │  References: _o_s_-_s_r_g  SRG-OS-000074-GPOS-00042
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │ @@ -3563,11 +3551,23 @@
│ │ │ │  # CAUTION: This remediation script will remove tftp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_np_nt28_average.html
│ │ │ @@ -20654,180 +20654,180 @@
│ │ │  00050ad0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │  00050ae0: 3730 3122 2074 6162 696e 6465 783d 2230  701" tabindex="0
│ │ │  00050af0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00050b00: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00050b10: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00050b20: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00050b30: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00050b40: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00050b50: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00050b60: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00050b70: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00050b80: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00050b90: 2069 643d 2269 646d 3130 3730 3122 3e3c   id="idm10701"><
│ │ │ -00050ba0: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00050bb0: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -00050bc0: 7379 736c 6f67 2d6e 6722 0a76 6572 7369  syslog-ng".versi
│ │ │ -00050bd0: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ -00050be0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00050bf0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00050c00: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00050c10: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00050c20: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -00050c30: 3037 3032 2220 7461 6269 6e64 6578 3d22  0702" tabindex="
│ │ │ -00050c40: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00050c50: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00050c60: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00050c70: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00050c80: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00050c90: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00050ca0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00050cb0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00050cc0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00050cd0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00050ce0: 3730 3222 3e3c 7461 626c 6520 636c 6173  702"><table clas
│ │ │ -00050cf0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00050d00: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00050d10: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00050d20: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00050d30: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00050d40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00050d50: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00050d60: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00050d70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00050d80: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00050d90: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00050da0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00050db0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00050dc0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00050dd0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00050de0: 6c75 6465 2069 6e73 7461 6c6c 5f73 7973  lude install_sys
│ │ │ -00050df0: 6c6f 672d 6e67 0a0a 636c 6173 7320 696e  log-ng..class in
│ │ │ -00050e00: 7374 616c 6c5f 7379 736c 6f67 2d6e 6720  stall_syslog-ng 
│ │ │ -00050e10: 7b0a 2020 7061 636b 6167 6520 7b20 2773  {.  package { 's
│ │ │ -00050e20: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ -00050e30: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -00050e40: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -00050e50: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00050e60: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00050e70: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00050e80: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00050e90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00050ea0: 2223 6964 6d31 3037 3033 2220 7461 6269  "#idm10703" tabi
│ │ │ -00050eb0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00050ec0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00050ed0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00050ee0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00050ef0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00050f00: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00050f10: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00050f20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00050f30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00050f40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00050f50: 3d22 6964 6d31 3037 3033 223e 3c74 6162  ="idm10703"><tab
│ │ │ -00050f60: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00050f70: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00050f80: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00050f90: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00050fa0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00050fb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00050fc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00050fd0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00050fe0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00050ff0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00051000: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00051010: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00051020: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00051030: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00051040: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00051050: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -00051060: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -00051070: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -00051080: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -00051090: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -000510a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -000510b0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ -000510c0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -000510d0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -000510e0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -000510f0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00051100: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00051110: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00051120: 6163 6b61 6765 5f73 7973 6c6f 676e 675f  ackage_syslogng_
│ │ │ -00051130: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -00051140: 653a 2045 6e73 7572 6520 7379 736c 6f67  e: Ensure syslog
│ │ │ -00051150: 2d6e 6720 6973 2069 6e73 7461 6c6c 6564  -ng is installed
│ │ │ -00051160: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00051170: 6e61 6d65 3a20 7379 736c 6f67 2d6e 670a  name: syslog-ng.
│ │ │ -00051180: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ -00051190: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ -000511a0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -000511b0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000511c0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ -000511d0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000511e0: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -000511f0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00051200: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00051210: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00051220: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00051230: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00051240: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00051250: 6765 5f73 7973 6c6f 676e 675f 696e 7374  ge_syslogng_inst
│ │ │ -00051260: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ -00051270: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00051280: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00051290: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -000512a0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -000512b0: 7461 7267 6574 3d22 2369 646d 3130 3730  target="#idm1070
│ │ │ -000512c0: 3422 2074 6162 696e 6465 783d 2230 2220  4" tabindex="0" 
│ │ │ -000512d0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -000512e0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -000512f0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00051300: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00051310: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00051320: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ -00051330: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00051340: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00051350: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00051360: 2220 6964 3d22 6964 6d31 3037 3034 223e  " id="idm10704">
│ │ │ -00051370: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00051380: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00051390: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -000513a0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -000513b0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -000513c0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -000513d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000513e0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -000513f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00051400: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00051410: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00051420: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00051430: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00051440: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00051450: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00051460: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ -00051470: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ -00051480: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ -00051490: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ -000514a0: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ -000514b0: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ -000514c0: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ -000514d0: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ -000514e0: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ -000514f0: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ -00051500: 7374 616c 6c65 643b 2074 6865 6e0a 0a44  stalled; then..D
│ │ │ -00051510: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -00051520: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -00051530: 742d 6765 7420 696e 7374 616c 6c20 2d79  t-get install -y
│ │ │ -00051540: 2022 7379 736c 6f67 2d6e 6722 0a0a 656c   "syslog-ng"..el
│ │ │ -00051550: 7365 0a20 2020 2026 6774 3b26 616d 703b  se.    &gt;&amp;
│ │ │ -00051560: 3220 6563 686f 2027 5265 6d65 6469 6174  2 echo 'Remediat
│ │ │ -00051570: 696f 6e20 6973 206e 6f74 2061 7070 6c69  ion is not appli
│ │ │ -00051580: 6361 626c 652c 206e 6f74 6869 6e67 2077  cable, nothing w
│ │ │ -00051590: 6173 2064 6f6e 6527 0a66 690a 3c2f 636f  as done'.fi.</co
│ │ │ +00050b40: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00050b50: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00050b60: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00050b70: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00050b80: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00050b90: 3730 3122 3e3c 7461 626c 6520 636c 6173  701"><table clas
│ │ │ +00050ba0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00050bb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00050bc0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00050bd0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00050be0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00050bf0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00050c00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00050c10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00050c20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00050c30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00050c40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00050c50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00050c60: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00050c70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00050c80: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00050c90: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00050ca0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00050cb0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00050cc0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +00050cd0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00050ce0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00050cf0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00050d00: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00050d10: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00050d20: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00050d30: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00050d40: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00050d50: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00050d60: 7379 736c 6f67 6e67 5f69 6e73 7461 6c6c  syslogng_install
│ │ │ +00050d70: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +00050d80: 7265 2073 7973 6c6f 672d 6e67 2069 7320  re syslog-ng is 
│ │ │ +00050d90: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +00050da0: 6167 653a 0a20 2020 206e 616d 653a 2073  age:.    name: s
│ │ │ +00050db0: 7973 6c6f 672d 6e67 0a20 2020 2073 7461  yslog-ng.    sta
│ │ │ +00050dc0: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ +00050dd0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +00050de0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +00050df0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +00050e00: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00050e10: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00050e20: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00050e30: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00050e40: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00050e50: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00050e60: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00050e70: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00050e80: 2020 2d20 7061 636b 6167 655f 7379 736c    - package_sysl
│ │ │ +00050e90: 6f67 6e67 5f69 6e73 7461 6c6c 6564 0a3c  ogng_installed.<
│ │ │ +00050ea0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00050eb0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00050ec0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00050ed0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00050ee0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00050ef0: 2223 6964 6d31 3037 3032 2220 7461 6269  "#idm10702" tabi
│ │ │ +00050f00: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00050f10: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00050f20: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00050f30: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00050f40: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00050f50: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +00050f60: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +00050f70: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00050f80: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00050f90: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00050fa0: 646d 3130 3730 3222 3e3c 7461 626c 6520  dm10702"><table 
│ │ │ +00050fb0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00050fc0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00050fd0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00050fe0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00050ff0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00051000: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00051010: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00051020: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00051030: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00051040: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00051050: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00051060: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00051070: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00051080: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00051090: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +000510a0: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ +000510b0: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ +000510c0: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ +000510d0: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ +000510e0: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ +000510f0: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ +00051100: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ +00051110: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ +00051120: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ +00051130: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ +00051140: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ +00051150: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +00051160: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ +00051170: 6e73 7461 6c6c 202d 7920 2273 7973 6c6f  nstall -y "syslo
│ │ │ +00051180: 672d 6e67 220a 0a65 6c73 650a 2020 2020  g-ng"..else.    
│ │ │ +00051190: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ +000511a0: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ +000511b0: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ +000511c0: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ +000511d0: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +000511e0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +000511f0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00051200: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00051210: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00051220: 6172 6765 743d 2223 6964 6d31 3037 3033  arget="#idm10703
│ │ │ +00051230: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00051240: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00051250: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00051260: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00051270: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00051280: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00051290: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +000512a0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +000512b0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000512c0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000512d0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +000512e0: 3d22 6964 6d31 3037 3033 223e 3c70 7265  ="idm10703"><pre
│ │ │ +000512f0: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ +00051300: 6573 5d5d 0a6e 616d 6520 3d20 2273 7973  es]].name = "sys
│ │ │ +00051310: 6c6f 672d 6e67 220a 7665 7273 696f 6e20  log-ng".version 
│ │ │ +00051320: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ +00051330: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00051340: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00051350: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00051360: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00051370: 7461 7267 6574 3d22 2369 646d 3130 3730  target="#idm1070
│ │ │ +00051380: 3422 2074 6162 696e 6465 783d 2230 2220  4" tabindex="0" 
│ │ │ +00051390: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +000513a0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +000513b0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +000513c0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +000513d0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +000513e0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +000513f0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00051400: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00051410: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00051420: 7365 2220 6964 3d22 6964 6d31 3037 3034  se" id="idm10704
│ │ │ +00051430: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00051440: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00051450: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00051460: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00051470: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00051480: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00051490: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000514a0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000514b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000514c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000514d0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000514e0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000514f0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00051500: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00051510: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00051520: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00051530: 6520 696e 7374 616c 6c5f 7379 736c 6f67  e install_syslog
│ │ │ +00051540: 2d6e 670a 0a63 6c61 7373 2069 6e73 7461  -ng..class insta
│ │ │ +00051550: 6c6c 5f73 7973 6c6f 672d 6e67 207b 0a20  ll_syslog-ng {. 
│ │ │ +00051560: 2070 6163 6b61 6765 207b 2027 7379 736c   package { 'sysl
│ │ │ +00051570: 6f67 2d6e 6727 3a0a 2020 2020 656e 7375  og-ng':.    ensu
│ │ │ +00051580: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +00051590: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │  000515a0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  000515b0: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  000515c0: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  000515d0: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  000515e0: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  000515f0: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  00051600: 6e74 656e 745f 7275 6c65 5f73 6572 7669  ntent_rule_servi
│ │ │ @@ -21042,151 +21042,151 @@
│ │ │  00052310: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  00052320: 6d31 3037 3838 2220 7461 6269 6e64 6578  m10788" tabindex
│ │ │  00052330: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  00052340: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  00052350: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00052360: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00052370: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00052380: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ -00052390: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ -000523a0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000523b0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000523c0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000523d0: 7365 2220 6964 3d22 6964 6d31 3037 3838  se" id="idm10788
│ │ │ -000523e0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -000523f0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -00052400: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -00052410: 3d20 5b22 7379 736c 6f67 2d6e 6722 5d0a  = ["syslog-ng"].
│ │ │ -00052420: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00052430: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00052440: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00052450: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00052460: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00052470: 3d22 2369 646d 3130 3738 3922 2074 6162  ="#idm10789" tab
│ │ │ -00052480: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00052490: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000524a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000524b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000524c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000524d0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000524e0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -000524f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00052500: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00052510: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00052520: 3d22 6964 6d31 3037 3839 223e 3c74 6162  ="idm10789"><tab
│ │ │ -00052530: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00052540: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00052550: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00052560: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00052570: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00052580: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00052590: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000525a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000525b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000525c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000525d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000525e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000525f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00052600: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00052610: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00052620: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ -00052630: 6c65 5f73 7973 6c6f 672d 6e67 0a0a 636c  le_syslog-ng..cl
│ │ │ -00052640: 6173 7320 656e 6162 6c65 5f73 7973 6c6f  ass enable_syslo
│ │ │ -00052650: 672d 6e67 207b 0a20 2073 6572 7669 6365  g-ng {.  service
│ │ │ -00052660: 207b 2773 7973 6c6f 672d 6e67 273a 0a20   {'syslog-ng':. 
│ │ │ -00052670: 2020 2065 6e61 626c 6520 3d26 6774 3b20     enable =&gt; 
│ │ │ -00052680: 7472 7565 2c0a 2020 2020 656e 7375 7265  true,.    ensure
│ │ │ -00052690: 203d 2667 743b 2027 7275 6e6e 696e 6727   =&gt; 'running'
│ │ │ -000526a0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -000526b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000526c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000526d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000526e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000526f0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00052700: 3739 3022 2074 6162 696e 6465 783d 2230  790" tabindex="0
│ │ │ -00052710: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00052720: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00052730: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00052740: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00052750: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00052760: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00052770: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00052780: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00052790: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000527a0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -000527b0: 3739 3022 3e3c 7461 626c 6520 636c 6173  790"><table clas
│ │ │ -000527c0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -000527d0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -000527e0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -000527f0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00052800: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00052810: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00052820: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00052830: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00052840: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00052850: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00052860: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00052870: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00052880: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00052890: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -000528a0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -000528b0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -000528c0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -000528d0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -000528e0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -000528f0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00052900: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ -00052910: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00052920: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -00052930: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00052940: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00052950: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00052960: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00052970: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00052980: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00052990: 7365 7276 6963 655f 7379 736c 6f67 6e67  service_syslogng
│ │ │ -000529a0: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ -000529b0: 3a20 456e 6162 6c65 2073 7973 6c6f 672d  : Enable syslog-
│ │ │ -000529c0: 6e67 2053 6572 7669 6365 202d 2045 6e61  ng Service - Ena
│ │ │ -000529d0: 626c 6520 7365 7276 6963 6520 7379 736c  ble service sysl
│ │ │ -000529e0: 6f67 2d6e 670a 2020 626c 6f63 6b3a 0a0a  og-ng.  block:..
│ │ │ -000529f0: 2020 2d20 6e61 6d65 3a20 4761 7468 6572    - name: Gather
│ │ │ -00052a00: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -00052a10: 7473 0a20 2020 2070 6163 6b61 6765 5f66  ts.    package_f
│ │ │ -00052a20: 6163 7473 3a0a 2020 2020 2020 6d61 6e61  acts:.      mana
│ │ │ -00052a30: 6765 723a 2061 7574 6f0a 0a20 202d 206e  ger: auto..  - n
│ │ │ -00052a40: 616d 653a 2045 6e61 626c 6520 7379 736c  ame: Enable sysl
│ │ │ -00052a50: 6f67 2d6e 6720 5365 7276 6963 6520 2d20  og-ng Service - 
│ │ │ -00052a60: 456e 6162 6c65 2053 6572 7669 6365 2073  Enable Service s
│ │ │ -00052a70: 7973 6c6f 672d 6e67 0a20 2020 2061 6e73  yslog-ng.    ans
│ │ │ -00052a80: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ -00052a90: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ -00052aa0: 3a20 7379 736c 6f67 2d6e 670a 2020 2020  : syslog-ng.    
│ │ │ -00052ab0: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ -00052ac0: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ -00052ad0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ -00052ae0: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ -00052af0: 6e3a 0a20 2020 202d 2027 2273 7973 6c6f  n:.    - '"syslo
│ │ │ -00052b00: 672d 6e67 2220 696e 2061 6e73 6962 6c65  g-ng" in ansible
│ │ │ -00052b10: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00052b20: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00052b30: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00052b40: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00052b50: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00052b60: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ -00052b70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00052b80: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -00052b90: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00052ba0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00052bb0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00052bc0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00052bd0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00052be0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00052bf0: 2073 6572 7669 6365 5f73 7973 6c6f 676e   service_syslogn
│ │ │ -00052c00: 675f 656e 6162 6c65 640a 3c2f 636f 6465  g_enabled.</code
│ │ │ +00052380: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00052390: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +000523a0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000523b0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000523c0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000523d0: 6d31 3037 3838 223e 3c74 6162 6c65 2063  m10788"><table c
│ │ │ +000523e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000523f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00052400: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00052410: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00052420: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00052430: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00052440: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00052450: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00052460: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00052470: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00052480: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00052490: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000524a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000524b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000524c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000524d0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +000524e0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +000524f0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00052500: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00052510: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00052520: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ +00052530: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00052540: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00052550: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00052560: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00052570: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00052580: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00052590: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +000525a0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000525b0: 202d 2073 6572 7669 6365 5f73 7973 6c6f   - service_syslo
│ │ │ +000525c0: 676e 675f 656e 6162 6c65 640a 0a2d 206e  gng_enabled..- n
│ │ │ +000525d0: 616d 653a 2045 6e61 626c 6520 7379 736c  ame: Enable sysl
│ │ │ +000525e0: 6f67 2d6e 6720 5365 7276 6963 6520 2d20  og-ng Service - 
│ │ │ +000525f0: 456e 6162 6c65 2073 6572 7669 6365 2073  Enable service s
│ │ │ +00052600: 7973 6c6f 672d 6e67 0a20 2062 6c6f 636b  yslog-ng.  block
│ │ │ +00052610: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +00052620: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00052630: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +00052640: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +00052650: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +00052660: 2d20 6e61 6d65 3a20 456e 6162 6c65 2073  - name: Enable s
│ │ │ +00052670: 7973 6c6f 672d 6e67 2053 6572 7669 6365  yslog-ng Service
│ │ │ +00052680: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ +00052690: 6520 7379 736c 6f67 2d6e 670a 2020 2020  e syslog-ng.    
│ │ │ +000526a0: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ +000526b0: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ +000526c0: 616d 653a 2073 7973 6c6f 672d 6e67 0a20  ame: syslog-ng. 
│ │ │ +000526d0: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ +000526e0: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ +000526f0: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ +00052700: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ +00052710: 7768 656e 3a0a 2020 2020 2d20 2722 7379  when:.    - '"sy
│ │ │ +00052720: 736c 6f67 2d6e 6722 2069 6e20 616e 7369  slog-ng" in ansi
│ │ │ +00052730: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00052740: 6573 270a 2020 7768 656e 3a20 2722 6c69  es'.  when: '"li
│ │ │ +00052750: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ +00052760: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +00052770: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +00052780: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00052790: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ +000527a0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +000527b0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +000527c0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +000527d0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000527e0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +000527f0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00052800: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00052810: 2020 2d20 7365 7276 6963 655f 7379 736c    - service_sysl
│ │ │ +00052820: 6f67 6e67 5f65 6e61 626c 6564 0a3c 2f63  ogng_enabled.</c
│ │ │ +00052830: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00052840: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00052850: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00052860: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00052870: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00052880: 6964 6d31 3037 3839 2220 7461 6269 6e64  idm10789" tabind
│ │ │ +00052890: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +000528a0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +000528b0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +000528c0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +000528d0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000528e0: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +000528f0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +00052900: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00052910: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00052920: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00052930: 6170 7365 2220 6964 3d22 6964 6d31 3037  apse" id="idm107
│ │ │ +00052940: 3839 223e 3c70 7265 3e3c 636f 6465 3e0a  89"><pre><code>.
│ │ │ +00052950: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ +00052960: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ +00052970: 6420 3d20 5b22 7379 736c 6f67 2d6e 6722  d = ["syslog-ng"
│ │ │ +00052980: 5d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ].</code></pre><
│ │ │ +00052990: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +000529a0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +000529b0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +000529c0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +000529d0: 6574 3d22 2369 646d 3130 3739 3022 2074  et="#idm10790" t
│ │ │ +000529e0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +000529f0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00052a00: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00052a10: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00052a20: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00052a30: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00052a40: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +00052a50: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00052a60: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00052a70: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00052a80: 6964 3d22 6964 6d31 3037 3930 223e 3c74  id="idm10790"><t
│ │ │ +00052a90: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00052aa0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00052ab0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00052ac0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00052ad0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00052ae0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00052af0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00052b00: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00052b10: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00052b20: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00052b30: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00052b40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00052b50: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00052b60: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00052b70: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00052b80: 3c63 6f64 653e 696e 636c 7564 6520 656e  <code>include en
│ │ │ +00052b90: 6162 6c65 5f73 7973 6c6f 672d 6e67 0a0a  able_syslog-ng..
│ │ │ +00052ba0: 636c 6173 7320 656e 6162 6c65 5f73 7973  class enable_sys
│ │ │ +00052bb0: 6c6f 672d 6e67 207b 0a20 2073 6572 7669  log-ng {.  servi
│ │ │ +00052bc0: 6365 207b 2773 7973 6c6f 672d 6e67 273a  ce {'syslog-ng':
│ │ │ +00052bd0: 0a20 2020 2065 6e61 626c 6520 3d26 6774  .    enable =&gt
│ │ │ +00052be0: 3b20 7472 7565 2c0a 2020 2020 656e 7375  ; true,.    ensu
│ │ │ +00052bf0: 7265 203d 2667 743b 2027 7275 6e6e 696e  re =&gt; 'runnin
│ │ │ +00052c00: 6727 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  g',.  }.}.</code
│ │ │  00052c10: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  00052c20: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  00052c30: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  00052c40: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  00052c50: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  00052c60: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  00052c70: 656e 745f 7275 6c65 5f70 6163 6b61 6765  ent_rule_package
│ │ │ @@ -21394,179 +21394,179 @@
│ │ │  00053910: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  00053920: 3031 3134 2220 7461 6269 6e64 6578 3d22  0114" tabindex="
│ │ │  00053930: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00053940: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00053950: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00053960: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00053970: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00053980: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -00053990: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -000539a0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000539b0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -000539c0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -000539d0: 2220 6964 3d22 6964 6d31 3031 3134 223e  " id="idm10114">
│ │ │ -000539e0: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ -000539f0: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ -00053a00: 2272 7379 736c 6f67 220a 7665 7273 696f  "rsyslog".versio
│ │ │ -00053a10: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ -00053a20: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00053a30: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00053a40: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00053a50: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00053a60: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00053a70: 3131 3522 2074 6162 696e 6465 783d 2230  115" tabindex="0
│ │ │ -00053a80: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00053a90: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00053aa0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00053ab0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00053ac0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00053ad0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -00053ae0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00053af0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00053b00: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00053b10: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ -00053b20: 3135 223e 3c74 6162 6c65 2063 6c61 7373  15"><table class
│ │ │ -00053b30: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00053b40: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00053b50: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00053b60: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00053b70: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00053b80: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00053b90: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00053ba0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00053bb0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00053bc0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00053bd0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00053be0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00053bf0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -00053c00: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00053c10: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00053c20: 7564 6520 696e 7374 616c 6c5f 7273 7973  ude install_rsys
│ │ │ -00053c30: 6c6f 670a 0a63 6c61 7373 2069 6e73 7461  log..class insta
│ │ │ -00053c40: 6c6c 5f72 7379 736c 6f67 207b 0a20 2070  ll_rsyslog {.  p
│ │ │ -00053c50: 6163 6b61 6765 207b 2027 7273 7973 6c6f  ackage { 'rsyslo
│ │ │ -00053c60: 6727 3a0a 2020 2020 656e 7375 7265 203d  g':.    ensure =
│ │ │ -00053c70: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ -00053c80: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00053c90: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00053ca0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00053cb0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00053cc0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00053cd0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00053ce0: 3131 3622 2074 6162 696e 6465 783d 2230  116" tabindex="0
│ │ │ -00053cf0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00053d00: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00053d10: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00053d20: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00053d30: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00053d40: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00053d50: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00053d60: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00053d70: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00053d80: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00053d90: 3131 3622 3e3c 7461 626c 6520 636c 6173  116"><table clas
│ │ │ -00053da0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00053db0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00053dc0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00053dd0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00053de0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00053df0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00053e00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00053e10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00053e20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00053e30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00053e40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00053e50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00053e60: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00053e70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00053e80: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00053e90: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -00053ea0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -00053eb0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -00053ec0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00053ed0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00053ee0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00053ef0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -00053f00: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00053f10: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00053f20: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00053f30: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00053f40: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00053f50: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00053f60: 7273 7973 6c6f 675f 696e 7374 616c 6c65  rsyslog_installe
│ │ │ -00053f70: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ -00053f80: 6520 7273 7973 6c6f 6720 6973 2069 6e73  e rsyslog is ins
│ │ │ -00053f90: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ -00053fa0: 3a0a 2020 2020 6e61 6d65 3a20 7273 7973  :.    name: rsys
│ │ │ -00053fb0: 6c6f 670a 2020 2020 7374 6174 653a 2070  log.    state: p
│ │ │ -00053fc0: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ -00053fd0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -00053fe0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00053ff0: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -00054000: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00054010: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ -00054020: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00054030: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00054040: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00054050: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00054060: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00054070: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00054080: 6163 6b61 6765 5f72 7379 736c 6f67 5f69  ackage_rsyslog_i
│ │ │ -00054090: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ -000540a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -000540b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000540c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -000540d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -000540e0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -000540f0: 3031 3137 2220 7461 6269 6e64 6578 3d22  0117" tabindex="
│ │ │ -00054100: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00054110: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00054120: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00054130: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00054140: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00054150: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00054160: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00054170: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00054180: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00054190: 7073 6522 2069 643d 2269 646d 3130 3131  pse" id="idm1011
│ │ │ -000541a0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ -000541b0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -000541c0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -000541d0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -000541e0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -000541f0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00054200: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00054210: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00054220: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00054230: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00054240: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00054250: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00054260: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00054270: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00054280: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00054290: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ -000542a0: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ -000542b0: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ -000542c0: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ -000542d0: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ -000542e0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ -000542f0: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ -00054300: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ -00054310: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ -00054320: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -00054330: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ -00054340: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -00054350: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -00054360: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ -00054370: 202d 7920 2272 7379 736c 6f67 220a 0a65   -y "rsyslog"..e
│ │ │ -00054380: 6c73 650a 2020 2020 2667 743b 2661 6d70  lse.    &gt;&amp
│ │ │ -00054390: 3b32 2065 6368 6f20 2752 656d 6564 6961  ;2 echo 'Remedia
│ │ │ -000543a0: 7469 6f6e 2069 7320 6e6f 7420 6170 706c  tion is not appl
│ │ │ -000543b0: 6963 6162 6c65 2c20 6e6f 7468 696e 6720  icable, nothing 
│ │ │ -000543c0: 7761 7320 646f 6e65 270a 6669 0a3c 2f63  was done'.fi.</c
│ │ │ +00053980: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00053990: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +000539a0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000539b0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000539c0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +000539d0: 3031 3134 223e 3c74 6162 6c65 2063 6c61  0114"><table cla
│ │ │ +000539e0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000539f0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00053a00: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00053a10: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00053a20: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00053a30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00053a40: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00053a50: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00053a60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053a70: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00053a80: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00053a90: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00053aa0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00053ab0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00053ac0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00053ad0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +00053ae0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +00053af0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +00053b00: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +00053b10: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +00053b20: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00053b30: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00053b40: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00053b50: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00053b60: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00053b70: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00053b80: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00053b90: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00053ba0: 5f72 7379 736c 6f67 5f69 6e73 7461 6c6c  _rsyslog_install
│ │ │ +00053bb0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +00053bc0: 7265 2072 7379 736c 6f67 2069 7320 696e  re rsyslog is in
│ │ │ +00053bd0: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ +00053be0: 653a 0a20 2020 206e 616d 653a 2072 7379  e:.    name: rsy
│ │ │ +00053bf0: 736c 6f67 0a20 2020 2073 7461 7465 3a20  slog.    state: 
│ │ │ +00053c00: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ +00053c10: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +00053c20: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00053c30: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00053c40: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00053c50: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00053c60: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00053c70: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00053c80: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00053c90: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00053ca0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00053cb0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00053cc0: 7061 636b 6167 655f 7273 7973 6c6f 675f  package_rsyslog_
│ │ │ +00053cd0: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +00053ce0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00053cf0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00053d00: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00053d10: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00053d20: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00053d30: 3130 3131 3522 2074 6162 696e 6465 783d  10115" tabindex=
│ │ │ +00053d40: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00053d50: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00053d60: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00053d70: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00053d80: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00053d90: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +00053da0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +00053db0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00053dc0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00053dd0: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ +00053de0: 3135 223e 3c74 6162 6c65 2063 6c61 7373  15"><table class
│ │ │ +00053df0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00053e00: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00053e10: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00053e20: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00053e30: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00053e40: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00053e50: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00053e60: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00053e70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00053e80: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00053e90: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00053ea0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00053eb0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00053ec0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00053ed0: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ +00053ee0: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ +00053ef0: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ +00053f00: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ +00053f10: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ +00053f20: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ +00053f30: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ +00053f40: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ +00053f50: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ +00053f60: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ +00053f70: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ +00053f80: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ +00053f90: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +00053fa0: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ +00053fb0: 6c20 2d79 2022 7273 7973 6c6f 6722 0a0a  l -y "rsyslog"..
│ │ │ +00053fc0: 656c 7365 0a20 2020 2026 6774 3b26 616d  else.    &gt;&am
│ │ │ +00053fd0: 703b 3220 6563 686f 2027 5265 6d65 6469  p;2 echo 'Remedi
│ │ │ +00053fe0: 6174 696f 6e20 6973 206e 6f74 2061 7070  ation is not app
│ │ │ +00053ff0: 6c69 6361 626c 652c 206e 6f74 6869 6e67  licable, nothing
│ │ │ +00054000: 2077 6173 2064 6f6e 6527 0a66 690a 3c2f   was done'.fi.</
│ │ │ +00054010: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00054020: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00054030: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00054040: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00054050: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00054060: 2369 646d 3130 3131 3622 2074 6162 696e  #idm10116" tabin
│ │ │ +00054070: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00054080: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00054090: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000540a0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000540b0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000540c0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +000540d0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +000540e0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000540f0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00054100: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00054110: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00054120: 3131 3622 3e3c 7072 653e 3c63 6f64 653e  116"><pre><code>
│ │ │ +00054130: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +00054140: 6d65 203d 2022 7273 7973 6c6f 6722 0a76  me = "rsyslog".v
│ │ │ +00054150: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ +00054160: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00054170: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00054180: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00054190: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000541a0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +000541b0: 6964 6d31 3031 3137 2220 7461 6269 6e64  idm10117" tabind
│ │ │ +000541c0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +000541d0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +000541e0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +000541f0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00054200: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00054210: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +00054220: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +00054230: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00054240: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00054250: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00054260: 646d 3130 3131 3722 3e3c 7461 626c 6520  dm10117"><table 
│ │ │ +00054270: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00054280: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00054290: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000542a0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000542b0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +000542c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000542d0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000542e0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000542f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00054300: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00054310: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00054320: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00054330: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00054340: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00054350: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00054360: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ +00054370: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ +00054380: 696e 7374 616c 6c5f 7273 7973 6c6f 6720  install_rsyslog 
│ │ │ +00054390: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ +000543a0: 7379 736c 6f67 273a 0a20 2020 2065 6e73  syslog':.    ens
│ │ │ +000543b0: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +000543c0: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │  000543d0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  000543e0: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  000543f0: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  00054400: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  00054410: 7461 2d74 742d 6964 3d22 7863 6364 665f  ta-tt-id="xccdf_
│ │ │  00054420: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  00054430: 6f6e 7465 6e74 5f72 756c 655f 7365 7276  ontent_rule_serv
│ │ │ @@ -21795,150 +21795,150 @@
│ │ │  00055220: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00055230: 6964 6d31 3032 3030 2220 7461 6269 6e64  idm10200" tabind
│ │ │  00055240: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  00055250: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  00055260: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  00055270: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  00055280: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00055290: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -000552a0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -000552b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -000552c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -000552d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -000552e0: 6170 7365 2220 6964 3d22 6964 6d31 3032  apse" id="idm102
│ │ │ -000552f0: 3030 223e 3c70 7265 3e3c 636f 6465 3e0a  00"><pre><code>.
│ │ │ -00055300: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ -00055310: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ -00055320: 6420 3d20 5b22 7273 7973 6c6f 6722 5d0a  d = ["rsyslog"].
│ │ │ -00055330: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00055340: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00055350: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00055360: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00055370: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00055380: 3d22 2369 646d 3130 3230 3122 2074 6162  ="#idm10201" tab
│ │ │ -00055390: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000553a0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000553b0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000553c0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000553d0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000553e0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000553f0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -00055400: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00055410: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00055420: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00055430: 3d22 6964 6d31 3032 3031 223e 3c74 6162  ="idm10201"><tab
│ │ │ -00055440: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00055450: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00055460: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00055470: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00055480: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00055490: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000554a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000554b0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000554c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000554d0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000554e0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000554f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00055500: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00055510: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00055520: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00055530: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ -00055540: 6c65 5f72 7379 736c 6f67 0a0a 636c 6173  le_rsyslog..clas
│ │ │ -00055550: 7320 656e 6162 6c65 5f72 7379 736c 6f67  s enable_rsyslog
│ │ │ -00055560: 207b 0a20 2073 6572 7669 6365 207b 2772   {.  service {'r
│ │ │ -00055570: 7379 736c 6f67 273a 0a20 2020 2065 6e61  syslog':.    ena
│ │ │ -00055580: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ -00055590: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -000555a0: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ -000555b0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -000555c0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -000555d0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -000555e0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -000555f0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00055600: 6574 3d22 2369 646d 3130 3230 3222 2074  et="#idm10202" t
│ │ │ -00055610: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00055620: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00055630: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00055640: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00055650: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00055660: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00055670: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -00055680: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00055690: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000556a0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000556b0: 2069 643d 2269 646d 3130 3230 3222 3e3c   id="idm10202"><
│ │ │ -000556c0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -000556d0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000556e0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -000556f0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00055700: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00055710: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00055720: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00055730: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00055740: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00055750: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00055760: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00055770: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00055780: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00055790: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000557a0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000557b0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -000557c0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -000557d0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -000557e0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -000557f0: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00055800: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00055810: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -00055820: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00055830: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -00055840: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00055850: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00055860: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00055870: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -00055880: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00055890: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -000558a0: 655f 7273 7973 6c6f 675f 656e 6162 6c65  e_rsyslog_enable
│ │ │ -000558b0: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ -000558c0: 6520 7273 7973 6c6f 6720 5365 7276 6963  e rsyslog Servic
│ │ │ -000558d0: 6520 2d20 456e 6162 6c65 2073 6572 7669  e - Enable servi
│ │ │ -000558e0: 6365 2072 7379 736c 6f67 0a20 2062 6c6f  ce rsyslog.  blo
│ │ │ -000558f0: 636b 3a0a 0a20 202d 206e 616d 653a 2047  ck:..  - name: G
│ │ │ -00055900: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00055910: 6520 6661 6374 730a 2020 2020 7061 636b  e facts.    pack
│ │ │ -00055920: 6167 655f 6661 6374 733a 0a20 2020 2020  age_facts:.     
│ │ │ -00055930: 206d 616e 6167 6572 3a20 6175 746f 0a0a   manager: auto..
│ │ │ -00055940: 2020 2d20 6e61 6d65 3a20 456e 6162 6c65    - name: Enable
│ │ │ -00055950: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ -00055960: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ -00055970: 6520 7273 7973 6c6f 670a 2020 2020 616e  e rsyslog.    an
│ │ │ -00055980: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ -00055990: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ -000559a0: 653a 2072 7379 736c 6f67 0a20 2020 2020  e: rsyslog.     
│ │ │ -000559b0: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ -000559c0: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ -000559d0: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ -000559e0: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ -000559f0: 3a0a 2020 2020 2d20 2722 7273 7973 6c6f  :.    - '"rsyslo
│ │ │ -00055a00: 6722 2069 6e20 616e 7369 626c 655f 6661  g" in ansible_fa
│ │ │ -00055a10: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00055a20: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -00055a30: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00055a40: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00055a50: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00055a60: 3830 302d 3533 2d41 552d 3428 3129 0a20  800-53-AU-4(1). 
│ │ │ -00055a70: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00055a80: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -00055a90: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00055aa0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00055ab0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00055ac0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -00055ad0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -00055ae0: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ -00055af0: 7276 6963 655f 7273 7973 6c6f 675f 656e  rvice_rsyslog_en
│ │ │ -00055b00: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +00055290: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +000552a0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +000552b0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +000552c0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +000552d0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +000552e0: 6964 6d31 3032 3030 223e 3c74 6162 6c65  idm10200"><table
│ │ │ +000552f0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00055300: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00055310: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00055320: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00055330: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00055340: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00055350: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00055360: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00055370: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00055380: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00055390: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000553a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000553b0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +000553c0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000553d0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000553e0: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +000553f0: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00055400: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +00055410: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +00055420: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00055430: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00055440: 2d34 2831 290a 2020 2d20 4e49 5354 2d38  -4(1).  - NIST-8
│ │ │ +00055450: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00055460: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00055470: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00055480: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00055490: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +000554a0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +000554b0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +000554c0: 0a20 202d 2073 6572 7669 6365 5f72 7379  .  - service_rsy
│ │ │ +000554d0: 736c 6f67 5f65 6e61 626c 6564 0a0a 2d20  slog_enabled..- 
│ │ │ +000554e0: 6e61 6d65 3a20 456e 6162 6c65 2072 7379  name: Enable rsy
│ │ │ +000554f0: 736c 6f67 2053 6572 7669 6365 202d 2045  slog Service - E
│ │ │ +00055500: 6e61 626c 6520 7365 7276 6963 6520 7273  nable service rs
│ │ │ +00055510: 7973 6c6f 670a 2020 626c 6f63 6b3a 0a0a  yslog.  block:..
│ │ │ +00055520: 2020 2d20 6e61 6d65 3a20 4761 7468 6572    - name: Gather
│ │ │ +00055530: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00055540: 7473 0a20 2020 2070 6163 6b61 6765 5f66  ts.    package_f
│ │ │ +00055550: 6163 7473 3a0a 2020 2020 2020 6d61 6e61  acts:.      mana
│ │ │ +00055560: 6765 723a 2061 7574 6f0a 0a20 202d 206e  ger: auto..  - n
│ │ │ +00055570: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ +00055580: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ +00055590: 6162 6c65 2053 6572 7669 6365 2072 7379  able Service rsy
│ │ │ +000555a0: 736c 6f67 0a20 2020 2061 6e73 6962 6c65  slog.    ansible
│ │ │ +000555b0: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ +000555c0: 3a0a 2020 2020 2020 6e61 6d65 3a20 7273  :.      name: rs
│ │ │ +000555d0: 7973 6c6f 670a 2020 2020 2020 656e 6162  yslog.      enab
│ │ │ +000555e0: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ +000555f0: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ +00055600: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ +00055610: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ +00055620: 202d 2027 2272 7379 736c 6f67 2220 696e   - '"rsyslog" in
│ │ │ +00055630: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00055640: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ +00055650: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +00055660: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00055670: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00055680: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00055690: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +000556a0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +000556b0: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +000556c0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +000556d0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +000556e0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +000556f0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00055700: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00055710: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +00055720: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ +00055730: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00055740: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00055750: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00055760: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00055770: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00055780: 743d 2223 6964 6d31 3032 3031 2220 7461  t="#idm10201" ta
│ │ │ +00055790: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +000557a0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +000557b0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +000557c0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +000557d0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +000557e0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +000557f0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +00055800: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00055810: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00055820: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00055830: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00055840: 6d31 3032 3031 223e 3c70 7265 3e3c 636f  m10201"><pre><co
│ │ │ +00055850: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ +00055860: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ +00055870: 6162 6c65 6420 3d20 5b22 7273 7973 6c6f  abled = ["rsyslo
│ │ │ +00055880: 6722 5d0a 3c2f 636f 6465 3e3c 2f70 7265  g"].</code></pre
│ │ │ +00055890: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000558a0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000558b0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000558c0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000558d0: 7267 6574 3d22 2369 646d 3130 3230 3222  rget="#idm10202"
│ │ │ +000558e0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +000558f0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00055900: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00055910: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00055920: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00055930: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00055940: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00055950: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00055960: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00055970: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00055980: 2220 6964 3d22 6964 6d31 3032 3032 223e  " id="idm10202">
│ │ │ +00055990: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000559a0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000559b0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000559c0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000559d0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000559e0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000559f0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00055a00: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00055a10: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00055a20: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00055a30: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00055a40: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00055a50: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00055a60: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00055a70: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00055a80: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00055a90: 656e 6162 6c65 5f72 7379 736c 6f67 0a0a  enable_rsyslog..
│ │ │ +00055aa0: 636c 6173 7320 656e 6162 6c65 5f72 7379  class enable_rsy
│ │ │ +00055ab0: 736c 6f67 207b 0a20 2073 6572 7669 6365  slog {.  service
│ │ │ +00055ac0: 207b 2772 7379 736c 6f67 273a 0a20 2020   {'rsyslog':.   
│ │ │ +00055ad0: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ +00055ae0: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ +00055af0: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ +00055b00: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  00055b10: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  00055b20: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  00055b30: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00055b40: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  00055b50: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  00055b60: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  00055b70: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f70  .content_group_p
│ │ │ @@ -29851,146 +29851,146 @@
│ │ │  000749a0: 743d 2223 6964 6d31 3936 3337 2220 7461  t="#idm19637" ta
│ │ │  000749b0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  000749c0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  000749d0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  000749e0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  000749f0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00074a00: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00074a10: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -00074a20: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00074a30: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00074a40: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00074a50: 643d 2269 646d 3139 3633 3722 3e3c 7461  d="idm19637"><ta
│ │ │ -00074a60: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00074a70: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00074a80: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00074a90: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00074aa0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00074ab0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00074ac0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00074ad0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00074ae0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00074af0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00074b00: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00074b10: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00074b20: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00074b30: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00074b40: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00074b50: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -00074b60: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ -00074b70: 656c 6e65 7464 0a0a 636c 6173 7320 7265  elnetd..class re
│ │ │ -00074b80: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ -00074b90: 656c 6e65 7464 207b 0a20 2070 6163 6b61  elnetd {.  packa
│ │ │ -00074ba0: 6765 207b 2027 696e 6574 7574 696c 732d  ge { 'inetutils-
│ │ │ -00074bb0: 7465 6c6e 6574 6427 3a0a 2020 2020 656e  telnetd':.    en
│ │ │ -00074bc0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00074bd0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00074be0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00074bf0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00074c00: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00074c10: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00074c20: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00074c30: 6d31 3936 3338 2220 7461 6269 6e64 6578  m19638" tabindex
│ │ │ -00074c40: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00074c50: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00074c60: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00074c70: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00074c80: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00074c90: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00074ca0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00074cb0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00074cc0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00074cd0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00074ce0: 6d31 3936 3338 223e 3c74 6162 6c65 2063  m19638"><table c
│ │ │ -00074cf0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00074d00: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00074d10: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00074d20: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00074d30: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00074d40: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00074d50: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00074d60: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00074d70: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00074d80: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00074d90: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00074da0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00074db0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00074dc0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00074dd0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00074de0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00074df0: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00074e00: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00074e10: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00074e20: 3a20 696e 6574 7574 696c 732d 7465 6c6e  : inetutils-teln
│ │ │ -00074e30: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00074e40: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00074e50: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00074e60: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00074e70: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00074e80: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00074e90: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00074ea0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00074eb0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00074ec0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00074ed0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00074ee0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00074ef0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00074f00: 6167 655f 696e 6574 7574 696c 732d 7465  age_inetutils-te
│ │ │ -00074f10: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ -00074f20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00074f30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00074f40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00074f50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00074f60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00074f70: 2369 646d 3139 3633 3922 2074 6162 696e  #idm19639" tabin
│ │ │ -00074f80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00074f90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00074fa0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00074fb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00074fc0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00074fd0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -00074fe0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -00074ff0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00075000: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00075010: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00075020: 6d31 3936 3339 223e 3c74 6162 6c65 2063  m19639"><table c
│ │ │ -00075030: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00075040: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00075050: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00075060: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00075070: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00075080: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00075090: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -000750a0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -000750b0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000750c0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000750d0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000750e0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000750f0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00075100: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00075110: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00075120: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -00075130: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -00075140: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -00075150: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ -00075160: 7464 0a23 0920 2020 6672 6f6d 2074 6865  td.#.   from the
│ │ │ -00075170: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -00075180: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -00075190: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -000751a0: 6570 656e 6420 6f6e 2069 6e65 7475 7469  epend on inetuti
│ │ │ -000751b0: 6c73 2d74 656c 6e65 7464 2e20 4578 6563  ls-telnetd. Exec
│ │ │ -000751c0: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -000751d0: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -000751e0: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -000751f0: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -00075200: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -00075210: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -00075220: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -00075230: 2072 656d 6f76 6520 2d79 2022 696e 6574   remove -y "inet
│ │ │ -00075240: 7574 696c 732d 7465 6c6e 6574 6422 0a3c  utils-telnetd".<
│ │ │ +00074a10: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +00074a20: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00074a30: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00074a40: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00074a50: 6964 3d22 6964 6d31 3936 3337 223e 3c74  id="idm19637"><t
│ │ │ +00074a60: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00074a70: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00074a80: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00074a90: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00074aa0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00074ab0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00074ac0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00074ad0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00074ae0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00074af0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00074b00: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00074b10: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00074b20: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00074b30: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00074b40: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00074b50: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +00074b60: 6e73 7572 6520 696e 6574 7574 696c 732d  nsure inetutils-
│ │ │ +00074b70: 7465 6c6e 6574 6420 6973 2072 656d 6f76  telnetd is remov
│ │ │ +00074b80: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00074b90: 2020 6e61 6d65 3a20 696e 6574 7574 696c    name: inetutil
│ │ │ +00074ba0: 732d 7465 6c6e 6574 640a 2020 2020 7374  s-telnetd.    st
│ │ │ +00074bb0: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +00074bc0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00074bd0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00074be0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +00074bf0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00074c00: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +00074c10: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00074c20: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +00074c30: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +00074c40: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00074c50: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00074c60: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00074c70: 2d20 7061 636b 6167 655f 696e 6574 7574  - package_inetut
│ │ │ +00074c80: 696c 732d 7465 6c6e 6574 645f 7265 6d6f  ils-telnetd_remo
│ │ │ +00074c90: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +00074ca0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00074cb0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00074cc0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00074cd0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00074ce0: 7267 6574 3d22 2369 646d 3139 3633 3822  rget="#idm19638"
│ │ │ +00074cf0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00074d00: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00074d10: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00074d20: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00074d30: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00074d40: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00074d50: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +00074d60: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00074d70: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00074d80: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00074d90: 6964 3d22 6964 6d31 3936 3338 223e 3c74  id="idm19638"><t
│ │ │ +00074da0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00074db0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00074dc0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00074dd0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00074de0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00074df0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00074e00: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00074e10: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00074e20: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00074e30: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00074e40: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00074e50: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00074e60: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00074e70: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00074e80: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00074e90: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ +00074ea0: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +00074eb0: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +00074ec0: 7265 6d6f 7665 2069 6e65 7475 7469 6c73  remove inetutils
│ │ │ +00074ed0: 2d74 656c 6e65 7464 0a23 0920 2020 6672  -telnetd.#.   fr
│ │ │ +00074ee0: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +00074ef0: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +00074f00: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +00074f10: 7468 6174 2064 6570 656e 6420 6f6e 2069  that depend on i
│ │ │ +00074f20: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ +00074f30: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00074f40: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00074f50: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +00074f60: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +00074f70: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +00074f80: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00074f90: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00074fa0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00074fb0: 2022 696e 6574 7574 696c 732d 7465 6c6e   "inetutils-teln
│ │ │ +00074fc0: 6574 6422 0a3c 2f63 6f64 653e 3c2f 7072  etd".</code></pr
│ │ │ +00074fd0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00074fe0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00074ff0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00075000: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00075010: 6172 6765 743d 2223 6964 6d31 3936 3339  arget="#idm19639
│ │ │ +00075020: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00075030: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00075040: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00075050: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00075060: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00075070: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00075080: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00075090: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000750a0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000750b0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000750c0: 6522 2069 643d 2269 646d 3139 3633 3922  e" id="idm19639"
│ │ │ +000750d0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000750e0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000750f0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00075100: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00075110: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00075120: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00075130: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00075140: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00075150: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00075160: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00075170: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00075180: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00075190: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +000751a0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +000751b0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +000751c0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +000751d0: 6520 7265 6d6f 7665 5f69 6e65 7475 7469  e remove_inetuti
│ │ │ +000751e0: 6c73 2d74 656c 6e65 7464 0a0a 636c 6173  ls-telnetd..clas
│ │ │ +000751f0: 7320 7265 6d6f 7665 5f69 6e65 7475 7469  s remove_inetuti
│ │ │ +00075200: 6c73 2d74 656c 6e65 7464 207b 0a20 2070  ls-telnetd {.  p
│ │ │ +00075210: 6163 6b61 6765 207b 2027 696e 6574 7574  ackage { 'inetut
│ │ │ +00075220: 696c 732d 7465 6c6e 6574 6427 3a0a 2020  ils-telnetd':.  
│ │ │ +00075230: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00075240: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  00075250: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00075260: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  00075270: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  00075280: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  00075290: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  000752a0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  000752b0: 2e63 6f6e 7465 6e74 5f72 756c 655f 7061  .content_rule_pa
│ │ │ @@ -30085,135 +30085,135 @@
│ │ │  00075840: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00075850: 3d22 2369 646d 3139 3634 3622 2074 6162  ="#idm19646" tab
│ │ │  00075860: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  00075870: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  00075880: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  00075890: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  000758a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000758b0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000758c0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -000758d0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000758e0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000758f0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00075900: 3d22 6964 6d31 3936 3436 223e 3c74 6162  ="idm19646"><tab
│ │ │ -00075910: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00075920: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00075930: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00075940: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00075950: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00075960: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00075970: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00075980: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00075990: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000759a0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000759b0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000759c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000759d0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000759e0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -000759f0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00075a00: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -00075a10: 6f76 655f 6e69 730a 0a63 6c61 7373 2072  ove_nis..class r
│ │ │ -00075a20: 656d 6f76 655f 6e69 7320 7b0a 2020 7061  emove_nis {.  pa
│ │ │ -00075a30: 636b 6167 6520 7b20 276e 6973 273a 0a20  ckage { 'nis':. 
│ │ │ -00075a40: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00075a50: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00075a60: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00075a70: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00075a80: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00075a90: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00075aa0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00075ab0: 3d22 2369 646d 3139 3634 3722 2074 6162  ="#idm19647" tab
│ │ │ -00075ac0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00075ad0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00075ae0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00075af0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00075b00: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00075b10: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00075b20: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00075b30: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00075b40: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00075b50: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00075b60: 643d 2269 646d 3139 3634 3722 3e3c 7461  d="idm19647"><ta
│ │ │ -00075b70: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00075b80: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00075b90: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00075ba0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00075bb0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00075bc0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00075bd0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00075be0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00075bf0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00075c00: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00075c10: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00075c20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00075c30: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00075c40: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00075c50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00075c60: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00075c70: 7375 7265 206e 6973 2069 7320 7265 6d6f  sure nis is remo
│ │ │ -00075c80: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -00075c90: 2020 206e 616d 653a 206e 6973 0a20 2020     name: nis.   
│ │ │ -00075ca0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -00075cb0: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -00075cc0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00075cd0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00075ce0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00075cf0: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -00075d00: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00075d10: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00075d20: 6167 655f 6e69 735f 7265 6d6f 7665 640a  age_nis_removed.
│ │ │ -00075d30: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00075d40: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00075d50: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00075d60: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00075d70: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00075d80: 3d22 2369 646d 3139 3634 3822 2074 6162  ="#idm19648" tab
│ │ │ -00075d90: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00075da0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00075db0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00075dc0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00075dd0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00075de0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -00075df0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -00075e00: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00075e10: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00075e20: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00075e30: 6964 6d31 3936 3438 223e 3c74 6162 6c65  idm19648"><table
│ │ │ -00075e40: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00075e50: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00075e60: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00075e70: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00075e80: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00075e90: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00075ea0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00075eb0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00075ec0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00075ed0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00075ee0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00075ef0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00075f00: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00075f10: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00075f20: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00075f30: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ -00075f40: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ -00075f50: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ -00075f60: 7665 206e 6973 0a23 0920 2020 6672 6f6d  ve nis.#.   from
│ │ │ -00075f70: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ -00075f80: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ -00075f90: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ -00075fa0: 6174 2064 6570 656e 6420 6f6e 206e 6973  at depend on nis
│ │ │ -00075fb0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00075fc0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00075fd0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00075fe0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00075ff0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -00076000: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -00076010: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -00076020: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -00076030: 2022 6e69 7322 0a3c 2f63 6f64 653e 3c2f   "nis".</code></
│ │ │ +000758b0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +000758c0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +000758d0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000758e0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +000758f0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00075900: 643d 2269 646d 3139 3634 3622 3e3c 7461  d="idm19646"><ta
│ │ │ +00075910: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00075920: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00075930: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00075940: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00075950: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00075960: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00075970: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00075980: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00075990: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000759a0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000759b0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000759c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000759d0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000759e0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +000759f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00075a00: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +00075a10: 7375 7265 206e 6973 2069 7320 7265 6d6f  sure nis is remo
│ │ │ +00075a20: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +00075a30: 2020 206e 616d 653a 206e 6973 0a20 2020     name: nis.   
│ │ │ +00075a40: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00075a50: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ +00075a60: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00075a70: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00075a80: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00075a90: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +00075aa0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00075ab0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00075ac0: 6167 655f 6e69 735f 7265 6d6f 7665 640a  age_nis_removed.
│ │ │ +00075ad0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00075ae0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00075af0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00075b00: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00075b10: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00075b20: 3d22 2369 646d 3139 3634 3722 2074 6162  ="#idm19647" tab
│ │ │ +00075b30: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00075b40: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00075b50: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00075b60: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00075b70: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00075b80: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ +00075b90: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ +00075ba0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00075bb0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00075bc0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00075bd0: 6964 6d31 3936 3437 223e 3c74 6162 6c65  idm19647"><table
│ │ │ +00075be0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00075bf0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00075c00: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00075c10: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00075c20: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00075c30: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00075c40: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00075c50: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00075c60: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00075c70: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00075c80: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00075c90: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00075ca0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00075cb0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00075cc0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00075cd0: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ +00075ce0: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ +00075cf0: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ +00075d00: 7665 206e 6973 0a23 0920 2020 6672 6f6d  ve nis.#.   from
│ │ │ +00075d10: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +00075d20: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +00075d30: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +00075d40: 6174 2064 6570 656e 6420 6f6e 206e 6973  at depend on nis
│ │ │ +00075d50: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00075d60: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00075d70: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +00075d80: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +00075d90: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +00075da0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00075db0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00075dc0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00075dd0: 2022 6e69 7322 0a3c 2f63 6f64 653e 3c2f   "nis".</code></
│ │ │ +00075de0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00075df0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00075e00: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00075e10: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00075e20: 2d74 6172 6765 743d 2223 6964 6d31 3936  -target="#idm196
│ │ │ +00075e30: 3438 2220 7461 6269 6e64 6578 3d22 3022  48" tabindex="0"
│ │ │ +00075e40: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00075e50: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00075e60: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00075e70: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00075e80: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00075e90: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00075ea0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00075eb0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00075ec0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00075ed0: 7073 6522 2069 643d 2269 646d 3139 3634  pse" id="idm1964
│ │ │ +00075ee0: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +00075ef0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00075f00: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00075f10: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00075f20: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00075f30: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00075f40: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00075f50: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00075f60: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00075f70: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00075f80: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00075f90: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00075fa0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00075fb0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00075fc0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00075fd0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00075fe0: 7564 6520 7265 6d6f 7665 5f6e 6973 0a0a  ude remove_nis..
│ │ │ +00075ff0: 636c 6173 7320 7265 6d6f 7665 5f6e 6973  class remove_nis
│ │ │ +00076000: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00076010: 6e69 7327 3a0a 2020 2020 656e 7375 7265  nis':.    ensure
│ │ │ +00076020: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +00076030: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  00076040: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  00076050: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  00076060: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  00076070: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  00076080: 6964 3d22 7863 6364 665f 6f72 672e 7373  id="xccdf_org.ss
│ │ │  00076090: 6770 726f 6a65 6374 2e63 6f6e 7465 6e74  gproject.content
│ │ │  000760a0: 5f72 756c 655f 7061 636b 6167 655f 6e74  _rule_package_nt
│ │ │ @@ -30309,137 +30309,137 @@
│ │ │  00076640: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  00076650: 3936 3535 2220 7461 6269 6e64 6578 3d22  9655" tabindex="
│ │ │  00076660: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00076670: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00076680: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00076690: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  000766a0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -000766b0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -000766c0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -000766d0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000766e0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000766f0: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ -00076700: 3635 3522 3e3c 7461 626c 6520 636c 6173  655"><table clas
│ │ │ -00076710: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00076720: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00076730: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00076740: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00076750: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00076760: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00076770: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00076780: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00076790: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000767a0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -000767b0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -000767c0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -000767d0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -000767e0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000767f0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00076800: 636c 7564 6520 7265 6d6f 7665 5f6e 7470  clude remove_ntp
│ │ │ -00076810: 6461 7465 0a0a 636c 6173 7320 7265 6d6f  date..class remo
│ │ │ -00076820: 7665 5f6e 7470 6461 7465 207b 0a20 2070  ve_ntpdate {.  p
│ │ │ -00076830: 6163 6b61 6765 207b 2027 6e74 7064 6174  ackage { 'ntpdat
│ │ │ -00076840: 6527 3a0a 2020 2020 656e 7375 7265 203d  e':.    ensure =
│ │ │ -00076850: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00076860: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00076870: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00076880: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00076890: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -000768a0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -000768b0: 6172 6765 743d 2223 6964 6d31 3936 3536  arget="#idm19656
│ │ │ -000768c0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000768d0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000768e0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000768f0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00076900: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00076910: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00076920: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00076930: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00076940: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00076950: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00076960: 7365 2220 6964 3d22 6964 6d31 3936 3536  se" id="idm19656
│ │ │ -00076970: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00076980: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00076990: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000769a0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000769b0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000769c0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000769d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000769e0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000769f0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00076a00: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00076a10: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00076a20: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00076a30: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00076a40: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00076a50: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00076a60: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00076a70: 653a 2045 6e73 7572 6520 6e74 7064 6174  e: Ensure ntpdat
│ │ │ -00076a80: 6520 6973 2072 656d 6f76 6564 0a20 2070  e is removed.  p
│ │ │ -00076a90: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00076aa0: 3a20 6e74 7064 6174 650a 2020 2020 7374  : ntpdate.    st
│ │ │ -00076ab0: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ -00076ac0: 6773 3a0a 2020 2d20 6469 7361 626c 655f  gs:.  - disable_
│ │ │ -00076ad0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00076ae0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00076af0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00076b00: 202d 206c 6f77 5f73 6576 6572 6974 790a   - low_severity.
│ │ │ -00076b10: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00076b20: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00076b30: 5f6e 7470 6461 7465 5f72 656d 6f76 6564  _ntpdate_removed
│ │ │ -00076b40: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00076b50: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00076b60: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00076b70: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00076b80: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00076b90: 743d 2223 6964 6d31 3936 3537 2220 7461  t="#idm19657" ta
│ │ │ -00076ba0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00076bb0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00076bc0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00076bd0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00076be0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00076bf0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00076c00: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -00076c10: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00076c20: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00076c30: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00076c40: 2269 646d 3139 3635 3722 3e3c 7461 626c  "idm19657"><tabl
│ │ │ -00076c50: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00076c60: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00076c70: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00076c80: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00076c90: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00076ca0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00076cb0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00076cc0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00076cd0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00076ce0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00076cf0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00076d00: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00076d10: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00076d20: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00076d30: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00076d40: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -00076d50: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -00076d60: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -00076d70: 6f76 6520 6e74 7064 6174 650a 2309 2020  ove ntpdate.#.  
│ │ │ -00076d80: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -00076d90: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -00076da0: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -00076db0: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -00076dc0: 6e20 6e74 7064 6174 652e 2045 7865 6375  n ntpdate. Execu
│ │ │ -00076dd0: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ -00076de0: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ -00076df0: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ -00076e00: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ -00076e10: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ -00076e20: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -00076e30: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -00076e40: 7265 6d6f 7665 202d 7920 226e 7470 6461  remove -y "ntpda
│ │ │ -00076e50: 7465 220a 3c2f 636f 6465 3e3c 2f70 7265  te".</code></pre
│ │ │ +000766b0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +000766c0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +000766d0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000766e0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000766f0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00076700: 3936 3535 223e 3c74 6162 6c65 2063 6c61  9655"><table cla
│ │ │ +00076710: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00076720: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00076730: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00076740: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00076750: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00076760: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00076770: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00076780: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00076790: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000767a0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +000767b0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +000767c0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +000767d0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +000767e0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000767f0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +00076800: 206e 616d 653a 2045 6e73 7572 6520 6e74   name: Ensure nt
│ │ │ +00076810: 7064 6174 6520 6973 2072 656d 6f76 6564  pdate is removed
│ │ │ +00076820: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00076830: 6e61 6d65 3a20 6e74 7064 6174 650a 2020  name: ntpdate.  
│ │ │ +00076840: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00076850: 2020 7461 6773 3a0a 2020 2d20 6469 7361    tags:.  - disa
│ │ │ +00076860: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00076870: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00076880: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00076890: 6f6e 0a20 202d 206c 6f77 5f73 6576 6572  on.  - low_sever
│ │ │ +000768a0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +000768b0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +000768c0: 6b61 6765 5f6e 7470 6461 7465 5f72 656d  kage_ntpdate_rem
│ │ │ +000768d0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +000768e0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +000768f0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00076900: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00076910: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00076920: 6172 6765 743d 2223 6964 6d31 3936 3536  arget="#idm19656
│ │ │ +00076930: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00076940: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00076950: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00076960: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00076970: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00076980: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00076990: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +000769a0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +000769b0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +000769c0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +000769d0: 2069 643d 2269 646d 3139 3635 3622 3e3c   id="idm19656"><
│ │ │ +000769e0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +000769f0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00076a00: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00076a10: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00076a20: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00076a30: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00076a40: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00076a50: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00076a60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00076a70: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00076a80: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00076a90: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00076aa0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00076ab0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00076ac0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00076ad0: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +00076ae0: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +00076af0: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +00076b00: 2072 656d 6f76 6520 6e74 7064 6174 650a   remove ntpdate.
│ │ │ +00076b10: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +00076b20: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +00076b30: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +00076b40: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +00076b50: 6e64 206f 6e20 6e74 7064 6174 652e 2045  nd on ntpdate. E
│ │ │ +00076b60: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ +00076b70: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ +00076b80: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ +00076b90: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ +00076ba0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ +00076bb0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +00076bc0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +00076bd0: 6765 7420 7265 6d6f 7665 202d 7920 226e  get remove -y "n
│ │ │ +00076be0: 7470 6461 7465 220a 3c2f 636f 6465 3e3c  tpdate".</code><
│ │ │ +00076bf0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00076c00: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00076c10: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00076c20: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00076c30: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +00076c40: 3635 3722 2074 6162 696e 6465 783d 2230  657" tabindex="0
│ │ │ +00076c50: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00076c60: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00076c70: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00076c80: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00076c90: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00076ca0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00076cb0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00076cc0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00076cd0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00076ce0: 6170 7365 2220 6964 3d22 6964 6d31 3936  apse" id="idm196
│ │ │ +00076cf0: 3537 223e 3c74 6162 6c65 2063 6c61 7373  57"><table class
│ │ │ +00076d00: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00076d10: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00076d20: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00076d30: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00076d40: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00076d50: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00076d60: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00076d70: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00076d80: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00076d90: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00076da0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00076db0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00076dc0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00076dd0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00076de0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00076df0: 6c75 6465 2072 656d 6f76 655f 6e74 7064  lude remove_ntpd
│ │ │ +00076e00: 6174 650a 0a63 6c61 7373 2072 656d 6f76  ate..class remov
│ │ │ +00076e10: 655f 6e74 7064 6174 6520 7b0a 2020 7061  e_ntpdate {.  pa
│ │ │ +00076e20: 636b 6167 6520 7b20 276e 7470 6461 7465  ckage { 'ntpdate
│ │ │ +00076e30: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00076e40: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00076e50: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00076e60: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  00076e70: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  00076e80: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  00076e90: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  00076ea0: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  00076eb0: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  00076ec0: 6c65 5f70 6163 6b61 6765 5f74 656c 6e65  le_package_telne
│ │ │ @@ -30651,143 +30651,143 @@
│ │ │  00077ba0: 7267 6574 3d22 2369 646d 3139 3735 3622  rget="#idm19756"
│ │ │  00077bb0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00077bc0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00077bd0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00077be0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00077bf0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00077c00: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00077c10: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00077c20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00077c30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00077c40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00077c50: 2220 6964 3d22 6964 6d31 3937 3536 223e  " id="idm19756">
│ │ │ -00077c60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00077c70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00077c80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00077c90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00077ca0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00077cb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00077cc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00077cd0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00077ce0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00077cf0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00077d00: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00077d10: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00077d20: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00077d30: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00077d40: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00077d50: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00077d60: 2072 656d 6f76 655f 7465 6c6e 6574 642d   remove_telnetd-
│ │ │ -00077d70: 7373 6c0a 0a63 6c61 7373 2072 656d 6f76  ssl..class remov
│ │ │ -00077d80: 655f 7465 6c6e 6574 642d 7373 6c20 7b0a  e_telnetd-ssl {.
│ │ │ -00077d90: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ -00077da0: 6e65 7464 2d73 736c 273a 0a20 2020 2065  netd-ssl':.    e
│ │ │ -00077db0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -00077dc0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -00077dd0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00077de0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00077df0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00077e00: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00077e10: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00077e20: 646d 3139 3735 3722 2074 6162 696e 6465  dm19757" tabinde
│ │ │ -00077e30: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00077e40: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00077e50: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00077e60: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00077e70: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00077e80: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00077e90: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00077ea0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00077eb0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00077ec0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00077ed0: 646d 3139 3735 3722 3e3c 7461 626c 6520  dm19757"><table 
│ │ │ -00077ee0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00077ef0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00077f00: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00077f10: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00077f20: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00077f30: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00077f40: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00077f50: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00077f60: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00077f70: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00077f80: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00077f90: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00077fa0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00077fb0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00077fc0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00077fd0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -00077fe0: 2074 656c 6e65 7464 2d73 736c 2069 7320   telnetd-ssl is 
│ │ │ -00077ff0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -00078000: 653a 0a20 2020 206e 616d 653a 2074 656c  e:.    name: tel
│ │ │ -00078010: 6e65 7464 2d73 736c 0a20 2020 2073 7461  netd-ssl.    sta
│ │ │ -00078020: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -00078030: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00078040: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00078050: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00078060: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00078070: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ -00078080: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -00078090: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -000780a0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000780b0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000780c0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -000780d0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000780e0: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ -000780f0: 2d73 736c 5f72 656d 6f76 6564 0a3c 2f63  -ssl_removed.</c
│ │ │ -00078100: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00078110: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00078120: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00078130: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00078140: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00078150: 6964 6d31 3937 3538 2220 7461 6269 6e64  idm19758" tabind
│ │ │ -00078160: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00078170: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00078180: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00078190: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -000781a0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -000781b0: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -000781c0: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -000781d0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -000781e0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000781f0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00078200: 3139 3735 3822 3e3c 7461 626c 6520 636c  19758"><table cl
│ │ │ -00078210: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00078220: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00078230: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00078240: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00078250: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00078260: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00078270: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00078280: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00078290: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000782a0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000782b0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000782c0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000782d0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -000782e0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000782f0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00078300: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -00078310: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -00078320: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -00078330: 7465 6c6e 6574 642d 7373 6c0a 2309 2020  telnetd-ssl.#.  
│ │ │ -00078340: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -00078350: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -00078360: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -00078370: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -00078380: 6e20 7465 6c6e 6574 642d 7373 6c2e 2045  n telnetd-ssl. E
│ │ │ -00078390: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -000783a0: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -000783b0: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -000783c0: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -000783d0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -000783e0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -000783f0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -00078400: 6765 7420 7265 6d6f 7665 202d 7920 2274  get remove -y "t
│ │ │ -00078410: 656c 6e65 7464 2d73 736c 220a 3c2f 636f  elnetd-ssl".</co
│ │ │ +00077c10: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00077c20: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00077c30: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00077c40: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00077c50: 6522 2069 643d 2269 646d 3139 3735 3622  e" id="idm19756"
│ │ │ +00077c60: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00077c70: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00077c80: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00077c90: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00077ca0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00077cb0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00077cc0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00077cd0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00077ce0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00077cf0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00077d00: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00077d10: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00077d20: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00077d30: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00077d40: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00077d50: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00077d60: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ +00077d70: 2d73 736c 2069 7320 7265 6d6f 7665 640a  -ssl is removed.
│ │ │ +00077d80: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00077d90: 616d 653a 2074 656c 6e65 7464 2d73 736c  ame: telnetd-ssl
│ │ │ +00077da0: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +00077db0: 6e74 0a20 2074 6167 733a 0a20 202d 204e  nt.  tags:.  - N
│ │ │ +00077dc0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00077dd0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00077de0: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ +00077df0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +00077e00: 6229 0a20 202d 2064 6973 6162 6c65 5f73  b).  - disable_s
│ │ │ +00077e10: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ +00077e20: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ +00077e30: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00077e40: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00077e50: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00077e60: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00077e70: 5f74 656c 6e65 7464 2d73 736c 5f72 656d  _telnetd-ssl_rem
│ │ │ +00077e80: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +00077e90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00077ea0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00077eb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00077ec0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00077ed0: 6172 6765 743d 2223 6964 6d31 3937 3537  arget="#idm19757
│ │ │ +00077ee0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00077ef0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00077f00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00077f10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00077f20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00077f30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00077f40: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +00077f50: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00077f60: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00077f70: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00077f80: 2069 643d 2269 646d 3139 3735 3722 3e3c   id="idm19757"><
│ │ │ +00077f90: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00077fa0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00077fb0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00077fc0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00077fd0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00077fe0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00077ff0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00078000: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00078010: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00078020: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00078030: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00078040: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00078050: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00078060: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00078070: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00078080: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ +00078090: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ +000780a0: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ +000780b0: 2072 656d 6f76 6520 7465 6c6e 6574 642d   remove telnetd-
│ │ │ +000780c0: 7373 6c0a 2309 2020 2066 726f 6d20 7468  ssl.#.   from th
│ │ │ +000780d0: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ +000780e0: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ +000780f0: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ +00078100: 6465 7065 6e64 206f 6e20 7465 6c6e 6574  depend on telnet
│ │ │ +00078110: 642d 7373 6c2e 2045 7865 6375 7465 2074  d-ssl. Execute t
│ │ │ +00078120: 6869 730a 2309 2020 2072 656d 6564 6961  his.#.   remedia
│ │ │ +00078130: 7469 6f6e 2041 4654 4552 2074 6573 7469  tion AFTER testi
│ │ │ +00078140: 6e67 206f 6e20 6120 6e6f 6e2d 7072 6f64  ng on a non-prod
│ │ │ +00078150: 7563 7469 6f6e 0a23 0920 2020 7379 7374  uction.#.   syst
│ │ │ +00078160: 656d 210a 0a44 4542 4941 4e5f 4652 4f4e  em!..DEBIAN_FRON
│ │ │ +00078170: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ +00078180: 6976 6520 6170 742d 6765 7420 7265 6d6f  ive apt-get remo
│ │ │ +00078190: 7665 202d 7920 2274 656c 6e65 7464 2d73  ve -y "telnetd-s
│ │ │ +000781a0: 736c 220a 3c2f 636f 6465 3e3c 2f70 7265  sl".</code></pre
│ │ │ +000781b0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000781c0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000781d0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000781e0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000781f0: 7267 6574 3d22 2369 646d 3139 3735 3822  rget="#idm19758"
│ │ │ +00078200: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00078210: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00078220: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00078230: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00078240: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00078250: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00078260: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00078270: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00078280: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00078290: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +000782a0: 2220 6964 3d22 6964 6d31 3937 3538 223e  " id="idm19758">
│ │ │ +000782b0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000782c0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000782d0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000782e0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000782f0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00078300: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00078310: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00078320: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00078330: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00078340: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00078350: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00078360: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00078370: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00078380: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00078390: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000783a0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +000783b0: 2072 656d 6f76 655f 7465 6c6e 6574 642d   remove_telnetd-
│ │ │ +000783c0: 7373 6c0a 0a63 6c61 7373 2072 656d 6f76  ssl..class remov
│ │ │ +000783d0: 655f 7465 6c6e 6574 642d 7373 6c20 7b0a  e_telnetd-ssl {.
│ │ │ +000783e0: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ +000783f0: 6e65 7464 2d73 736c 273a 0a20 2020 2065  netd-ssl':.    e
│ │ │ +00078400: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +00078410: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  00078420: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00078430: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00078440: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00078450: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00078460: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  00078470: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  00078480: 6e74 656e 745f 7275 6c65 5f70 6163 6b61  ntent_rule_packa
│ │ │ @@ -30999,141 +30999,141 @@
│ │ │  00079160: 7267 6574 3d22 2369 646d 3139 3835 3622  rget="#idm19856"
│ │ │  00079170: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00079180: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00079190: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  000791a0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  000791b0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  000791c0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000791d0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -000791e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000791f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00079200: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00079210: 2220 6964 3d22 6964 6d31 3938 3536 223e  " id="idm19856">
│ │ │ -00079220: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00079230: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00079240: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00079250: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00079260: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00079270: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00079280: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00079290: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -000792a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000792b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -000792c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -000792d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -000792e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -000792f0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00079300: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00079310: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00079320: 2072 656d 6f76 655f 7465 6c6e 6574 640a   remove_telnetd.
│ │ │ -00079330: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ -00079340: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ -00079350: 6520 7b20 2774 656c 6e65 7464 273a 0a20  e { 'telnetd':. 
│ │ │ -00079360: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00079370: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00079380: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00079390: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -000793a0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -000793b0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -000793c0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -000793d0: 3d22 2369 646d 3139 3835 3722 2074 6162  ="#idm19857" tab
│ │ │ -000793e0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000793f0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00079400: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00079410: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00079420: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00079430: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00079440: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00079450: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00079460: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00079470: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00079480: 643d 2269 646d 3139 3835 3722 3e3c 7461  d="idm19857"><ta
│ │ │ -00079490: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -000794a0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -000794b0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -000794c0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -000794d0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -000794e0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000794f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079500: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00079510: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00079520: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00079530: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00079540: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079550: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00079560: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00079570: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00079580: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00079590: 7375 7265 2074 656c 6e65 7464 2069 7320  sure telnetd is 
│ │ │ -000795a0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -000795b0: 653a 0a20 2020 206e 616d 653a 2074 656c  e:.    name: tel
│ │ │ -000795c0: 6e65 7464 0a20 2020 2073 7461 7465 3a20  netd.    state: 
│ │ │ -000795d0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -000795e0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -000795f0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -00079600: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -00079610: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00079620: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ -00079630: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00079640: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -00079650: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00079660: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00079670: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -00079680: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00079690: 6b61 6765 5f74 656c 6e65 7464 5f72 656d  kage_telnetd_rem
│ │ │ -000796a0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ -000796b0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -000796c0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -000796d0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -000796e0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -000796f0: 6172 6765 743d 2223 6964 6d31 3938 3538  arget="#idm19858
│ │ │ -00079700: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00079710: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00079720: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00079730: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00079740: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00079750: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00079760: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -00079770: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00079780: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00079790: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000797a0: 2069 643d 2269 646d 3139 3835 3822 3e3c   id="idm19858"><
│ │ │ -000797b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -000797c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000797d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -000797e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -000797f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00079800: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00079810: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00079820: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00079830: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00079840: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00079850: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00079860: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00079870: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00079880: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00079890: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -000798a0: 653e 3c63 6f64 653e 0a23 2043 4155 5449  e><code>.# CAUTI
│ │ │ -000798b0: 4f4e 3a20 5468 6973 2072 656d 6564 6961  ON: This remedia
│ │ │ -000798c0: 7469 6f6e 2073 6372 6970 7420 7769 6c6c  tion script will
│ │ │ -000798d0: 2072 656d 6f76 6520 7465 6c6e 6574 640a   remove telnetd.
│ │ │ -000798e0: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ -000798f0: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ -00079900: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ -00079910: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ -00079920: 6e64 206f 6e20 7465 6c6e 6574 642e 2045  nd on telnetd. E
│ │ │ -00079930: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -00079940: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -00079950: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -00079960: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -00079970: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -00079980: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -00079990: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -000799a0: 6765 7420 7265 6d6f 7665 202d 7920 2274  get remove -y "t
│ │ │ -000799b0: 656c 6e65 7464 220a 3c2f 636f 6465 3e3c  elnetd".</code><
│ │ │ +000791d0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +000791e0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000791f0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00079200: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00079210: 6522 2069 643d 2269 646d 3139 3835 3622  e" id="idm19856"
│ │ │ +00079220: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00079230: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00079240: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00079250: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00079260: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00079270: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00079280: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00079290: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +000792a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000792b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000792c0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +000792d0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +000792e0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +000792f0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00079300: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00079310: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00079320: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ +00079330: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +00079340: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +00079350: 2074 656c 6e65 7464 0a20 2020 2073 7461   telnetd.    sta
│ │ │ +00079360: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00079370: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00079380: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +00079390: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +000793a0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +000793b0: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +000793c0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +000793d0: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +000793e0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +000793f0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00079400: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00079410: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00079420: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ +00079430: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00079440: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00079450: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00079460: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00079470: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00079480: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00079490: 3938 3537 2220 7461 6269 6e64 6578 3d22  9857" tabindex="
│ │ │ +000794a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +000794b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +000794c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +000794d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +000794e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +000794f0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +00079500: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +00079510: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00079520: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00079530: 7073 6522 2069 643d 2269 646d 3139 3835  pse" id="idm1985
│ │ │ +00079540: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +00079550: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00079560: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00079570: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00079580: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00079590: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +000795a0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000795b0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +000795c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000795d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +000795e0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +000795f0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00079600: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00079610: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00079620: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00079630: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ +00079640: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ +00079650: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ +00079660: 7769 6c6c 2072 656d 6f76 6520 7465 6c6e  will remove teln
│ │ │ +00079670: 6574 640a 2309 2020 2066 726f 6d20 7468  etd.#.   from th
│ │ │ +00079680: 6520 7379 7374 656d 2c20 616e 6420 6d61  e system, and ma
│ │ │ +00079690: 7920 7265 6d6f 7665 2061 6e79 2070 6163  y remove any pac
│ │ │ +000796a0: 6b61 6765 730a 2309 2020 2074 6861 7420  kages.#.   that 
│ │ │ +000796b0: 6465 7065 6e64 206f 6e20 7465 6c6e 6574  depend on telnet
│ │ │ +000796c0: 642e 2045 7865 6375 7465 2074 6869 730a  d. Execute this.
│ │ │ +000796d0: 2309 2020 2072 656d 6564 6961 7469 6f6e  #.   remediation
│ │ │ +000796e0: 2041 4654 4552 2074 6573 7469 6e67 206f   AFTER testing o
│ │ │ +000796f0: 6e20 6120 6e6f 6e2d 7072 6f64 7563 7469  n a non-producti
│ │ │ +00079700: 6f6e 0a23 0920 2020 7379 7374 656d 210a  on.#.   system!.
│ │ │ +00079710: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +00079720: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +00079730: 6170 742d 6765 7420 7265 6d6f 7665 202d  apt-get remove -
│ │ │ +00079740: 7920 2274 656c 6e65 7464 220a 3c2f 636f  y "telnetd".</co
│ │ │ +00079750: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00079760: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00079770: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00079780: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00079790: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +000797a0: 646d 3139 3835 3822 2074 6162 696e 6465  dm19858" tabinde
│ │ │ +000797b0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +000797c0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +000797d0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +000797e0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +000797f0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00079800: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +00079810: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00079820: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00079830: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00079840: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00079850: 6d31 3938 3538 223e 3c74 6162 6c65 2063  m19858"><table c
│ │ │ +00079860: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00079870: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00079880: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00079890: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000798a0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000798b0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000798c0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000798d0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +000798e0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000798f0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00079900: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00079910: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00079920: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00079930: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00079940: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00079950: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ +00079960: 7465 6c6e 6574 640a 0a63 6c61 7373 2072  telnetd..class r
│ │ │ +00079970: 656d 6f76 655f 7465 6c6e 6574 6420 7b0a  emove_telnetd {.
│ │ │ +00079980: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ +00079990: 6e65 7464 273a 0a20 2020 2065 6e73 7572  netd':.    ensur
│ │ │ +000799a0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +000799b0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  000799c0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  000799d0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  000799e0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  000799f0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00079a00: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  00079a10: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00079a20: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -31580,180 +31580,180 @@
│ │ │  0007b5b0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  0007b5c0: 3d22 2369 646d 3230 3531 3922 2074 6162  ="#idm20519" tab
│ │ │  0007b5d0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  0007b5e0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  0007b5f0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  0007b600: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  0007b610: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0007b620: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0007b630: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0007b640: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0007b650: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0007b660: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0007b670: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0007b680: 3230 3531 3922 3e3c 7072 653e 3c63 6f64  20519"><pre><cod
│ │ │ -0007b690: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ -0007b6a0: 6e61 6d65 203d 2022 6e74 7022 0a76 6572  name = "ntp".ver
│ │ │ -0007b6b0: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ -0007b6c0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0007b6d0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0007b6e0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0007b6f0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0007b700: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0007b710: 6d32 3035 3230 2220 7461 6269 6e64 6578  m20520" tabindex
│ │ │ -0007b720: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0007b730: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0007b740: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0007b750: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0007b760: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0007b770: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0007b780: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0007b790: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0007b7a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0007b7b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0007b7c0: 3230 3532 3022 3e3c 7461 626c 6520 636c  20520"><table cl
│ │ │ -0007b7d0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0007b7e0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0007b7f0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0007b800: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0007b810: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0007b820: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007b830: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0007b840: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0007b850: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007b860: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0007b870: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0007b880: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0007b890: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -0007b8a0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0007b8b0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -0007b8c0: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f6e  nclude install_n
│ │ │ -0007b8d0: 7470 0a0a 636c 6173 7320 696e 7374 616c  tp..class instal
│ │ │ -0007b8e0: 6c5f 6e74 7020 7b0a 2020 7061 636b 6167  l_ntp {.  packag
│ │ │ -0007b8f0: 6520 7b20 276e 7470 273a 0a20 2020 2065  e { 'ntp':.    e
│ │ │ -0007b900: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -0007b910: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -0007b920: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0007b930: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0007b940: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0007b950: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0007b960: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0007b970: 2223 6964 6d32 3035 3231 2220 7461 6269  "#idm20521" tabi
│ │ │ -0007b980: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007b990: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007b9a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007b9b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007b9c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007b9d0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0007b9e0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0007b9f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007ba00: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007ba10: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007ba20: 3d22 6964 6d32 3035 3231 223e 3c74 6162  ="idm20521"><tab
│ │ │ -0007ba30: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007ba40: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007ba50: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007ba60: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007ba70: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007ba80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007ba90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007baa0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007bab0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007bac0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007bad0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007bae0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007baf0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007bb00: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -0007bb10: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007bb20: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -0007bb30: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -0007bb40: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -0007bb50: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -0007bb60: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -0007bb70: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007bb80: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0007bb90: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ -0007bba0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0007bbb0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -0007bbc0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -0007bbd0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0007bbe0: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -0007bbf0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0007bc00: 2d20 7061 636b 6167 655f 6e74 705f 696e  - package_ntp_in
│ │ │ -0007bc10: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ -0007bc20: 2045 6e73 7572 6520 6e74 7020 6973 2069   Ensure ntp is i
│ │ │ -0007bc30: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -0007bc40: 6765 3a0a 2020 2020 6e61 6d65 3a20 6e74  ge:.    name: nt
│ │ │ -0007bc50: 700a 2020 2020 7374 6174 653a 2070 7265  p.    state: pre
│ │ │ -0007bc60: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ -0007bc70: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ -0007bc80: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -0007bc90: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -0007bca0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0007bcb0: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ -0007bcc0: 532d 5265 712d 3130 2e34 0a20 202d 2065  S-Req-10.4.  - e
│ │ │ -0007bcd0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0007bce0: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ -0007bcf0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0007bd00: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0007bd10: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ -0007bd20: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -0007bd30: 7061 636b 6167 655f 6e74 705f 696e 7374  package_ntp_inst
│ │ │ -0007bd40: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ -0007bd50: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0007bd60: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0007bd70: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0007bd80: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0007bd90: 7461 7267 6574 3d22 2369 646d 3230 3532  target="#idm2052
│ │ │ -0007bda0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -0007bdb0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0007bdc0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0007bdd0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0007bde0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0007bdf0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0007be00: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ -0007be10: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0007be20: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0007be30: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0007be40: 2220 6964 3d22 6964 6d32 3035 3232 223e  " id="idm20522">
│ │ │ -0007be50: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007be60: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007be70: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007be80: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007be90: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007bea0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007beb0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007bec0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007bed0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007bee0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007bef0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007bf00: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007bf10: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007bf20: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -0007bf30: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0007bf40: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ -0007bf50: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ -0007bf60: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ -0007bf70: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ -0007bf80: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ -0007bf90: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ -0007bfa0: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ -0007bfb0: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ -0007bfc0: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ -0007bfd0: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ -0007bfe0: 7374 616c 6c65 643b 2074 6865 6e0a 0a44  stalled; then..D
│ │ │ -0007bff0: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -0007c000: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -0007c010: 742d 6765 7420 696e 7374 616c 6c20 2d79  t-get install -y
│ │ │ -0007c020: 2022 6e74 7022 0a0a 656c 7365 0a20 2020   "ntp"..else.   
│ │ │ -0007c030: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ -0007c040: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ -0007c050: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ -0007c060: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ -0007c070: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +0007b620: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0007b630: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0007b640: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0007b650: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0007b660: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0007b670: 643d 2269 646d 3230 3531 3922 3e3c 7461  d="idm20519"><ta
│ │ │ +0007b680: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0007b690: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0007b6a0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0007b6b0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0007b6c0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0007b6d0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0007b6e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007b6f0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0007b700: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007b710: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0007b720: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0007b730: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007b740: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0007b750: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0007b760: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0007b770: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +0007b780: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +0007b790: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +0007b7a0: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +0007b7b0: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +0007b7c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007b7d0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +0007b7e0: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ +0007b7f0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0007b800: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +0007b810: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +0007b820: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0007b830: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +0007b840: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0007b850: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ +0007b860: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ +0007b870: 3a20 456e 7375 7265 206e 7470 2069 7320  : Ensure ntp is 
│ │ │ +0007b880: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +0007b890: 6167 653a 0a20 2020 206e 616d 653a 206e  age:.    name: n
│ │ │ +0007b8a0: 7470 0a20 2020 2073 7461 7465 3a20 7072  tp.    state: pr
│ │ │ +0007b8b0: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +0007b8c0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0007b8d0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0007b8e0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +0007b8f0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0007b900: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +0007b910: 5353 2d52 6571 2d31 302e 340a 2020 2d20  SS-Req-10.4.  - 
│ │ │ +0007b920: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +0007b930: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +0007b940: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0007b950: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0007b960: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +0007b970: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0007b980: 2070 6163 6b61 6765 5f6e 7470 5f69 6e73   package_ntp_ins
│ │ │ +0007b990: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +0007b9a0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0007b9b0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0007b9c0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0007b9d0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0007b9e0: 2d74 6172 6765 743d 2223 6964 6d32 3035  -target="#idm205
│ │ │ +0007b9f0: 3230 2220 7461 6269 6e64 6578 3d22 3022  20" tabindex="0"
│ │ │ +0007ba00: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0007ba10: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0007ba20: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0007ba30: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0007ba40: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0007ba50: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +0007ba60: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +0007ba70: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0007ba80: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0007ba90: 6522 2069 643d 2269 646d 3230 3532 3022  e" id="idm20520"
│ │ │ +0007baa0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0007bab0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0007bac0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0007bad0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0007bae0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0007baf0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0007bb00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0007bb10: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0007bb20: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007bb30: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0007bb40: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0007bb50: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0007bb60: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0007bb70: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +0007bb80: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +0007bb90: 7265 3e3c 636f 6465 3e23 2052 656d 6564  re><code># Remed
│ │ │ +0007bba0: 6961 7469 6f6e 2069 7320 6170 706c 6963  iation is applic
│ │ │ +0007bbb0: 6162 6c65 206f 6e6c 7920 696e 2063 6572  able only in cer
│ │ │ +0007bbc0: 7461 696e 2070 6c61 7466 6f72 6d73 0a69  tain platforms.i
│ │ │ +0007bbd0: 6620 6470 6b67 2d71 7565 7279 202d 2d73  f dpkg-query --s
│ │ │ +0007bbe0: 686f 7720 2d2d 7368 6f77 666f 726d 6174  how --showformat
│ │ │ +0007bbf0: 3d27 247b 6462 3a53 7461 7475 732d 5374  ='${db:Status-St
│ │ │ +0007bc00: 6174 7573 7d0a 2720 276c 696e 7578 2d62  atus}.' 'linux-b
│ │ │ +0007bc10: 6173 6527 2032 2667 743b 2f64 6576 2f6e  ase' 2&gt;/dev/n
│ │ │ +0007bc20: 756c 6c20 7c20 6772 6570 202d 7120 5e69  ull | grep -q ^i
│ │ │ +0007bc30: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a  nstalled; then..
│ │ │ +0007bc40: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +0007bc50: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +0007bc60: 7074 2d67 6574 2069 6e73 7461 6c6c 202d  pt-get install -
│ │ │ +0007bc70: 7920 226e 7470 220a 0a65 6c73 650a 2020  y "ntp"..else.  
│ │ │ +0007bc80: 2020 2667 743b 2661 6d70 3b32 2065 6368    &gt;&amp;2 ech
│ │ │ +0007bc90: 6f20 2752 656d 6564 6961 7469 6f6e 2069  o 'Remediation i
│ │ │ +0007bca0: 7320 6e6f 7420 6170 706c 6963 6162 6c65  s not applicable
│ │ │ +0007bcb0: 2c20 6e6f 7468 696e 6720 7761 7320 646f  , nothing was do
│ │ │ +0007bcc0: 6e65 270a 6669 0a3c 2f63 6f64 653e 3c2f  ne'.fi.</code></
│ │ │ +0007bcd0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0007bce0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0007bcf0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0007bd00: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0007bd10: 2d74 6172 6765 743d 2223 6964 6d32 3035  -target="#idm205
│ │ │ +0007bd20: 3231 2220 7461 6269 6e64 6578 3d22 3022  21" tabindex="0"
│ │ │ +0007bd30: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0007bd40: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0007bd50: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0007bd60: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0007bd70: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0007bd80: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +0007bd90: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +0007bda0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007bdb0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007bdc0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007bdd0: 6964 3d22 6964 6d32 3035 3231 223e 3c70  id="idm20521"><p
│ │ │ +0007bde0: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ +0007bdf0: 6167 6573 5d5d 0a6e 616d 6520 3d20 226e  ages]].name = "n
│ │ │ +0007be00: 7470 220a 7665 7273 696f 6e20 3d20 222a  tp".version = "*
│ │ │ +0007be10: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +0007be20: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0007be30: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0007be40: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0007be50: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0007be60: 6574 3d22 2369 646d 3230 3532 3222 2074  et="#idm20522" t
│ │ │ +0007be70: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0007be80: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0007be90: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0007bea0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0007beb0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0007bec0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0007bed0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +0007bee0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007bef0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007bf00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007bf10: 6964 3d22 6964 6d32 3035 3232 223e 3c74  id="idm20522"><t
│ │ │ +0007bf20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0007bf30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0007bf40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0007bf50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0007bf60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0007bf70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0007bf80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007bf90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0007bfa0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007bfb0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0007bfc0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0007bfd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007bfe0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0007bff0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0007c000: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0007c010: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +0007c020: 7374 616c 6c5f 6e74 700a 0a63 6c61 7373  stall_ntp..class
│ │ │ +0007c030: 2069 6e73 7461 6c6c 5f6e 7470 207b 0a20   install_ntp {. 
│ │ │ +0007c040: 2070 6163 6b61 6765 207b 2027 6e74 7027   package { 'ntp'
│ │ │ +0007c050: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +0007c060: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ +0007c070: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0007c080: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0007c090: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0007c0a0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0007c0b0: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0007c0c0: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  0007c0d0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0007c0e0: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f73  .content_group_s
│ │ │ ├── html2text {}
│ │ │ │ @@ -1816,31 +1816,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1877,14 +1860,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ssyysslloogg--nngg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The syslog-ng service (in replacement of rsyslog) provides syslog-style logging
│ │ │ │  by default on Debian. The syslog-ng service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable syslog-ng.service
│ │ │ │  Rationale:  The syslog-ng service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │ @@ -1900,31 +1900,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1960,14 +1943,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1980,31 +1980,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2041,14 +2024,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 12. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2065,31 +2065,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2125,14 +2108,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3932,26 +3932,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -3976,33 +3964,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4024,34 +4012,34 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ -uninstalled.
│ │ │ │ -           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ -Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ -           cryptographic mechanisms integrated in NTP.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ +include remove_nis
│ │ │ │  
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ +uninstalled.
│ │ │ │ +           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ +Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ +           cryptographic mechanisms integrated in NTP.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4073,14 +4061,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -4098,26 +4098,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4142,14 +4130,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -4168,26 +4168,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4212,14 +4200,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 1 rule
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a
│ │ │ │  network. Computer clocks are not very accurate, so time will drift
│ │ │ │  unpredictably on unmanaged systems. Central time protocols can be used both to
│ │ │ │  ensure that time is consistent among a network of systems, and that their time
│ │ │ │  is consistent with the outside world.
│ │ │ │  
│ │ │ │ @@ -4281,31 +4281,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4344,14 +4327,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_np_nt28_high.html
│ │ │ @@ -21244,181 +21244,181 @@
│ │ │  00052fb0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00052fc0: 2369 646d 3130 3730 3122 2074 6162 696e  #idm10701" tabin
│ │ │  00052fd0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00052fe0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00052ff0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00053000: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00053010: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00053020: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -00053030: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -00053040: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00053050: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00053060: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00053070: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00053080: 3730 3122 3e3c 7072 653e 3c63 6f64 653e  701"><pre><code>
│ │ │ -00053090: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -000530a0: 6d65 203d 2022 7379 736c 6f67 2d6e 6722  me = "syslog-ng"
│ │ │ -000530b0: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ -000530c0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -000530d0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -000530e0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -000530f0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00053100: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00053110: 2223 6964 6d31 3037 3032 2220 7461 6269  "#idm10702" tabi
│ │ │ -00053120: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00053130: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00053140: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00053150: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00053160: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00053170: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00053180: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00053190: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000531a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000531b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000531c0: 2269 646d 3130 3730 3222 3e3c 7461 626c  "idm10702"><tabl
│ │ │ -000531d0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -000531e0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -000531f0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00053200: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00053210: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00053220: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00053230: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00053240: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00053250: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00053260: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00053270: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00053280: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00053290: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000532a0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -000532b0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -000532c0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ -000532d0: 6c6c 5f73 7973 6c6f 672d 6e67 0a0a 636c  ll_syslog-ng..cl
│ │ │ -000532e0: 6173 7320 696e 7374 616c 6c5f 7379 736c  ass install_sysl
│ │ │ -000532f0: 6f67 2d6e 6720 7b0a 2020 7061 636b 6167  og-ng {.  packag
│ │ │ -00053300: 6520 7b20 2773 7973 6c6f 672d 6e67 273a  e { 'syslog-ng':
│ │ │ -00053310: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00053320: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -00053330: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00053340: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00053350: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00053360: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00053370: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00053380: 6172 6765 743d 2223 6964 6d31 3037 3033  arget="#idm10703
│ │ │ -00053390: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000533a0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000533b0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000533c0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000533d0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000533e0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000533f0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00053400: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00053410: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00053420: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00053430: 7365 2220 6964 3d22 6964 6d31 3037 3033  se" id="idm10703
│ │ │ -00053440: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00053450: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00053460: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00053470: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00053480: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00053490: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000534a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000534b0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000534c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000534d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000534e0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000534f0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00053500: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00053510: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00053520: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00053530: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00053540: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -00053550: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -00053560: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -00053570: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -00053580: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00053590: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -000535a0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -000535b0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000535c0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000535d0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -000535e0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -000535f0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00053600: 0a20 202d 2070 6163 6b61 6765 5f73 7973  .  - package_sys
│ │ │ -00053610: 6c6f 676e 675f 696e 7374 616c 6c65 640a  logng_installed.
│ │ │ -00053620: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ -00053630: 7379 736c 6f67 2d6e 6720 6973 2069 6e73  syslog-ng is ins
│ │ │ -00053640: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ -00053650: 3a0a 2020 2020 6e61 6d65 3a20 7379 736c  :.    name: sysl
│ │ │ -00053660: 6f67 2d6e 670a 2020 2020 7374 6174 653a  og-ng.    state:
│ │ │ -00053670: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ -00053680: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -00053690: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -000536a0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -000536b0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -000536c0: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -000536d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -000536e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -000536f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00053700: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00053710: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00053720: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00053730: 2070 6163 6b61 6765 5f73 7973 6c6f 676e   package_syslogn
│ │ │ -00053740: 675f 696e 7374 616c 6c65 640a 3c2f 636f  g_installed.</co
│ │ │ -00053750: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00053760: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00053770: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00053780: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00053790: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000537a0: 646d 3130 3730 3422 2074 6162 696e 6465  dm10704" tabinde
│ │ │ -000537b0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -000537c0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -000537d0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -000537e0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -000537f0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00053800: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -00053810: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -00053820: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00053830: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00053840: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00053850: 3037 3034 223e 3c74 6162 6c65 2063 6c61  0704"><table cla
│ │ │ -00053860: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00053870: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00053880: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00053890: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000538a0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000538b0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000538c0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -000538d0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -000538e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000538f0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00053900: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00053910: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00053920: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00053930: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00053940: 6c65 3e3c 7072 653e 3c63 6f64 653e 2320  le><pre><code># 
│ │ │ -00053950: 5265 6d65 6469 6174 696f 6e20 6973 2061  Remediation is a
│ │ │ -00053960: 7070 6c69 6361 626c 6520 6f6e 6c79 2069  pplicable only i
│ │ │ -00053970: 6e20 6365 7274 6169 6e20 706c 6174 666f  n certain platfo
│ │ │ -00053980: 726d 730a 6966 2064 706b 672d 7175 6572  rms.if dpkg-quer
│ │ │ -00053990: 7920 2d2d 7368 6f77 202d 2d73 686f 7766  y --show --showf
│ │ │ -000539a0: 6f72 6d61 743d 2724 7b64 623a 5374 6174  ormat='${db:Stat
│ │ │ -000539b0: 7573 2d53 7461 7475 737d 0a27 2027 6c69  us-Status}.' 'li
│ │ │ -000539c0: 6e75 782d 6261 7365 2720 3226 6774 3b2f  nux-base' 2&gt;/
│ │ │ -000539d0: 6465 762f 6e75 6c6c 207c 2067 7265 7020  dev/null | grep 
│ │ │ -000539e0: 2d71 205e 696e 7374 616c 6c65 643b 2074  -q ^installed; t
│ │ │ -000539f0: 6865 6e0a 0a44 4542 4941 4e5f 4652 4f4e  hen..DEBIAN_FRON
│ │ │ -00053a00: 5445 4e44 3d6e 6f6e 696e 7465 7261 6374  TEND=noninteract
│ │ │ -00053a10: 6976 6520 6170 742d 6765 7420 696e 7374  ive apt-get inst
│ │ │ -00053a20: 616c 6c20 2d79 2022 7379 736c 6f67 2d6e  all -y "syslog-n
│ │ │ -00053a30: 6722 0a0a 656c 7365 0a20 2020 2026 6774  g"..else.    &gt
│ │ │ -00053a40: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ -00053a50: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ -00053a60: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ -00053a70: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ -00053a80: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +00053020: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00053030: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00053040: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00053050: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00053060: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00053070: 2269 646d 3130 3730 3122 3e3c 7461 626c  "idm10701"><tabl
│ │ │ +00053080: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00053090: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +000530a0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000530b0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000530c0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000530d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000530e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000530f0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00053100: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00053110: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00053120: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00053130: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00053140: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00053150: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00053160: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00053170: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +00053180: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +00053190: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +000531a0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +000531b0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +000531c0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +000531d0: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ +000531e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +000531f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00053200: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00053210: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00053220: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00053230: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00053240: 636b 6167 655f 7379 736c 6f67 6e67 5f69  ckage_syslogng_i
│ │ │ +00053250: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ +00053260: 3a20 456e 7375 7265 2073 7973 6c6f 672d  : Ensure syslog-
│ │ │ +00053270: 6e67 2069 7320 696e 7374 616c 6c65 640a  ng is installed.
│ │ │ +00053280: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00053290: 616d 653a 2073 7973 6c6f 672d 6e67 0a20  ame: syslog-ng. 
│ │ │ +000532a0: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +000532b0: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +000532c0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +000532d0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +000532e0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +000532f0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00053300: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +00053310: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00053320: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00053330: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00053340: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00053350: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00053360: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00053370: 655f 7379 736c 6f67 6e67 5f69 6e73 7461  e_syslogng_insta
│ │ │ +00053380: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +00053390: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +000533a0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +000533b0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +000533c0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +000533d0: 6172 6765 743d 2223 6964 6d31 3037 3032  arget="#idm10702
│ │ │ +000533e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +000533f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00053400: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00053410: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00053420: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00053430: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00053440: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +00053450: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00053460: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00053470: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00053480: 2069 643d 2269 646d 3130 3730 3222 3e3c   id="idm10702"><
│ │ │ +00053490: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +000534a0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000534b0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000534c0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000534d0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +000534e0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +000534f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053500: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00053510: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00053520: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00053530: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00053540: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053550: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00053560: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00053570: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00053580: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ +00053590: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ +000535a0: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ +000535b0: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ +000535c0: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ +000535d0: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ +000535e0: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ +000535f0: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ +00053600: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ +00053610: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ +00053620: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ +00053630: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +00053640: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +00053650: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ +00053660: 2273 7973 6c6f 672d 6e67 220a 0a65 6c73  "syslog-ng"..els
│ │ │ +00053670: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ +00053680: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ +00053690: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ +000536a0: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ +000536b0: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +000536c0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +000536d0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +000536e0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +000536f0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00053700: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00053710: 6d31 3037 3033 2220 7461 6269 6e64 6578  m10703" tabindex
│ │ │ +00053720: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00053730: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00053740: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00053750: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00053760: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00053770: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00053780: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00053790: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +000537a0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000537b0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000537c0: 7365 2220 6964 3d22 6964 6d31 3037 3033  se" id="idm10703
│ │ │ +000537d0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ +000537e0: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ +000537f0: 3d20 2273 7973 6c6f 672d 6e67 220a 7665  = "syslog-ng".ve
│ │ │ +00053800: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ +00053810: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00053820: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00053830: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00053840: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00053850: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00053860: 646d 3130 3730 3422 2074 6162 696e 6465  dm10704" tabinde
│ │ │ +00053870: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00053880: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00053890: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +000538a0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +000538b0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +000538c0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +000538d0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +000538e0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000538f0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00053900: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00053910: 6d31 3037 3034 223e 3c74 6162 6c65 2063  m10704"><table c
│ │ │ +00053920: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00053930: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00053940: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00053950: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00053960: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00053970: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00053980: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00053990: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +000539a0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000539b0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +000539c0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +000539d0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000539e0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000539f0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00053a00: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00053a10: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +00053a20: 7379 736c 6f67 2d6e 670a 0a63 6c61 7373  syslog-ng..class
│ │ │ +00053a30: 2069 6e73 7461 6c6c 5f73 7973 6c6f 672d   install_syslog-
│ │ │ +00053a40: 6e67 207b 0a20 2070 6163 6b61 6765 207b  ng {.  package {
│ │ │ +00053a50: 2027 7379 736c 6f67 2d6e 6727 3a0a 2020   'syslog-ng':.  
│ │ │ +00053a60: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00053a70: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ +00053a80: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00053a90: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00053aa0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00053ab0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00053ac0: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  00053ad0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00053ae0: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  00053af0: 5f73 6572 7669 6365 5f73 7973 6c6f 676e  _service_syslogn
│ │ │ @@ -21633,150 +21633,150 @@
│ │ │  00054800: 743d 2223 6964 6d31 3037 3838 2220 7461  t="#idm10788" ta
│ │ │  00054810: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00054820: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00054830: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  00054840: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  00054850: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00054860: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00054870: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -00054880: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00054890: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000548a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000548b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000548c0: 6d31 3037 3838 223e 3c70 7265 3e3c 636f  m10788"><pre><co
│ │ │ -000548d0: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -000548e0: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -000548f0: 6162 6c65 6420 3d20 5b22 7379 736c 6f67  abled = ["syslog
│ │ │ -00054900: 2d6e 6722 5d0a 3c2f 636f 6465 3e3c 2f70  -ng"].</code></p
│ │ │ -00054910: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00054920: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00054930: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00054940: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00054950: 7461 7267 6574 3d22 2369 646d 3130 3738  target="#idm1078
│ │ │ -00054960: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ -00054970: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00054980: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00054990: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -000549a0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000549b0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000549c0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -000549d0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000549e0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000549f0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00054a00: 7365 2220 6964 3d22 6964 6d31 3037 3839  se" id="idm10789
│ │ │ -00054a10: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00054a20: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00054a30: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00054a40: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00054a50: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00054a60: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00054a70: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00054a80: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00054a90: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00054aa0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00054ab0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00054ac0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00054ad0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00054ae0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00054af0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00054b00: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00054b10: 6520 656e 6162 6c65 5f73 7973 6c6f 672d  e enable_syslog-
│ │ │ -00054b20: 6e67 0a0a 636c 6173 7320 656e 6162 6c65  ng..class enable
│ │ │ -00054b30: 5f73 7973 6c6f 672d 6e67 207b 0a20 2073  _syslog-ng {.  s
│ │ │ -00054b40: 6572 7669 6365 207b 2773 7973 6c6f 672d  ervice {'syslog-
│ │ │ -00054b50: 6e67 273a 0a20 2020 2065 6e61 626c 6520  ng':.    enable 
│ │ │ -00054b60: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00054b70: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00054b80: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00054b90: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00054ba0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00054bb0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00054bc0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00054bd0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00054be0: 2369 646d 3130 3739 3022 2074 6162 696e  #idm10790" tabin
│ │ │ -00054bf0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00054c00: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00054c10: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00054c20: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00054c30: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00054c40: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00054c50: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00054c60: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00054c70: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00054c80: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00054c90: 2269 646d 3130 3739 3022 3e3c 7461 626c  "idm10790"><tabl
│ │ │ -00054ca0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00054cb0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00054cc0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00054cd0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00054ce0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00054cf0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00054d00: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00054d10: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00054d20: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00054d30: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00054d40: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00054d50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00054d60: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00054d70: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00054d80: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00054d90: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00054da0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00054db0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00054dc0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -00054dd0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -00054de0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00054df0: 552d 3428 3129 0a20 202d 204e 4953 542d  U-4(1).  - NIST-
│ │ │ -00054e00: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00054e10: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00054e20: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00054e30: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00054e40: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00054e50: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00054e60: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00054e70: 640a 2020 2d20 7365 7276 6963 655f 7379  d.  - service_sy
│ │ │ -00054e80: 736c 6f67 6e67 5f65 6e61 626c 6564 0a0a  slogng_enabled..
│ │ │ -00054e90: 2d20 6e61 6d65 3a20 456e 6162 6c65 2073  - name: Enable s
│ │ │ -00054ea0: 7973 6c6f 672d 6e67 2053 6572 7669 6365  yslog-ng Service
│ │ │ -00054eb0: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ -00054ec0: 6520 7379 736c 6f67 2d6e 670a 2020 626c  e syslog-ng.  bl
│ │ │ -00054ed0: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ -00054ee0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00054ef0: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ -00054f00: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -00054f10: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -00054f20: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ -00054f30: 6520 7379 736c 6f67 2d6e 6720 5365 7276  e syslog-ng Serv
│ │ │ -00054f40: 6963 6520 2d20 456e 6162 6c65 2053 6572  ice - Enable Ser
│ │ │ -00054f50: 7669 6365 2073 7973 6c6f 672d 6e67 0a20  vice syslog-ng. 
│ │ │ -00054f60: 2020 2061 6e73 6962 6c65 2e62 7569 6c74     ansible.built
│ │ │ -00054f70: 696e 2e73 7973 7465 6d64 3a0a 2020 2020  in.systemd:.    
│ │ │ -00054f80: 2020 6e61 6d65 3a20 7379 736c 6f67 2d6e    name: syslog-n
│ │ │ -00054f90: 670a 2020 2020 2020 656e 6162 6c65 643a  g.      enabled:
│ │ │ -00054fa0: 2074 7275 650a 2020 2020 2020 7374 6174   true.      stat
│ │ │ -00054fb0: 653a 2073 7461 7274 6564 0a20 2020 2020  e: started.     
│ │ │ -00054fc0: 206d 6173 6b65 643a 2066 616c 7365 0a20   masked: false. 
│ │ │ -00054fd0: 2020 2077 6865 6e3a 0a20 2020 202d 2027     when:.    - '
│ │ │ -00054fe0: 2273 7973 6c6f 672d 6e67 2220 696e 2061  "syslog-ng" in a
│ │ │ -00054ff0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -00055000: 6b61 6765 7327 0a20 2077 6865 6e3a 2027  kages'.  when: '
│ │ │ -00055010: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -00055020: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00055030: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -00055040: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00055050: 4155 2d34 2831 290a 2020 2d20 4e49 5354  AU-4(1).  - NIST
│ │ │ -00055060: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00055070: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -00055080: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00055090: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -000550a0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -000550b0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -000550c0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -000550d0: 6564 0a20 202d 2073 6572 7669 6365 5f73  ed.  - service_s
│ │ │ -000550e0: 7973 6c6f 676e 675f 656e 6162 6c65 640a  yslogng_enabled.
│ │ │ +00054870: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +00054880: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00054890: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000548a0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000548b0: 6964 3d22 6964 6d31 3037 3838 223e 3c74  id="idm10788"><t
│ │ │ +000548c0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +000548d0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +000548e0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +000548f0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00054900: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00054910: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00054920: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00054930: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00054940: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00054950: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00054960: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00054970: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00054980: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00054990: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +000549a0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +000549b0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +000549c0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +000549d0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +000549e0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +000549f0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +00054a00: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00054a10: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +00054a20: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00054a30: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00054a40: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00054a50: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00054a60: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00054a70: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00054a80: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00054a90: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +00054aa0: 5f73 7973 6c6f 676e 675f 656e 6162 6c65  _syslogng_enable
│ │ │ +00054ab0: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ +00054ac0: 6520 7379 736c 6f67 2d6e 6720 5365 7276  e syslog-ng Serv
│ │ │ +00054ad0: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ +00054ae0: 7669 6365 2073 7973 6c6f 672d 6e67 0a20  vice syslog-ng. 
│ │ │ +00054af0: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ +00054b00: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +00054b10: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ +00054b20: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00054b30: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ +00054b40: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ +00054b50: 6162 6c65 2073 7973 6c6f 672d 6e67 2053  able syslog-ng S
│ │ │ +00054b60: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +00054b70: 5365 7276 6963 6520 7379 736c 6f67 2d6e  Service syslog-n
│ │ │ +00054b80: 670a 2020 2020 616e 7369 626c 652e 6275  g.    ansible.bu
│ │ │ +00054b90: 696c 7469 6e2e 7379 7374 656d 643a 0a20  iltin.systemd:. 
│ │ │ +00054ba0: 2020 2020 206e 616d 653a 2073 7973 6c6f       name: syslo
│ │ │ +00054bb0: 672d 6e67 0a20 2020 2020 2065 6e61 626c  g-ng.      enabl
│ │ │ +00054bc0: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ +00054bd0: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ +00054be0: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ +00054bf0: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ +00054c00: 2d20 2722 7379 736c 6f67 2d6e 6722 2069  - '"syslog-ng" i
│ │ │ +00054c10: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00054c20: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ +00054c30: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +00054c40: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +00054c50: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +00054c60: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00054c70: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ +00054c80: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00054c90: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +00054ca0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00054cb0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00054cc0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00054cd0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00054ce0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00054cf0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +00054d00: 655f 7379 736c 6f67 6e67 5f65 6e61 626c  e_syslogng_enabl
│ │ │ +00054d10: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00054d20: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00054d30: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00054d40: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00054d50: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00054d60: 6765 743d 2223 6964 6d31 3037 3839 2220  get="#idm10789" 
│ │ │ +00054d70: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00054d80: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00054d90: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00054da0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00054db0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00054dc0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00054dd0: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ +00054de0: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ +00054df0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00054e00: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00054e10: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00054e20: 6964 6d31 3037 3839 223e 3c70 7265 3e3c  idm10789"><pre><
│ │ │ +00054e30: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ +00054e40: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ +00054e50: 656e 6162 6c65 6420 3d20 5b22 7379 736c  enabled = ["sysl
│ │ │ +00054e60: 6f67 2d6e 6722 5d0a 3c2f 636f 6465 3e3c  og-ng"].</code><
│ │ │ +00054e70: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00054e80: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00054e90: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00054ea0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00054eb0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ +00054ec0: 3739 3022 2074 6162 696e 6465 783d 2230  790" tabindex="0
│ │ │ +00054ed0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00054ee0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00054ef0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00054f00: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00054f10: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00054f20: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00054f30: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00054f40: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00054f50: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00054f60: 6170 7365 2220 6964 3d22 6964 6d31 3037  apse" id="idm107
│ │ │ +00054f70: 3930 223e 3c74 6162 6c65 2063 6c61 7373  90"><table class
│ │ │ +00054f80: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00054f90: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00054fa0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00054fb0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00054fc0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00054fd0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00054fe0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00054ff0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00055000: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00055010: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00055020: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00055030: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00055040: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00055050: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00055060: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00055070: 7564 6520 656e 6162 6c65 5f73 7973 6c6f  ude enable_syslo
│ │ │ +00055080: 672d 6e67 0a0a 636c 6173 7320 656e 6162  g-ng..class enab
│ │ │ +00055090: 6c65 5f73 7973 6c6f 672d 6e67 207b 0a20  le_syslog-ng {. 
│ │ │ +000550a0: 2073 6572 7669 6365 207b 2773 7973 6c6f   service {'syslo
│ │ │ +000550b0: 672d 6e67 273a 0a20 2020 2065 6e61 626c  g-ng':.    enabl
│ │ │ +000550c0: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +000550d0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +000550e0: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │  000550f0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00055100: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00055110: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00055120: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00055130: 2064 6174 612d 7474 2d69 643d 2278 6363   data-tt-id="xcc
│ │ │  00055140: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  00055150: 742e 636f 6e74 656e 745f 7275 6c65 5f70  t.content_rule_p
│ │ │ @@ -21984,180 +21984,180 @@
│ │ │  00055df0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00055e00: 2223 6964 6d31 3031 3134 2220 7461 6269  "#idm10114" tabi
│ │ │  00055e10: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00055e20: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  00055e30: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  00055e40: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  00055e50: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00055e60: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -00055e70: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -00055e80: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00055e90: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00055ea0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00055eb0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00055ec0: 3031 3134 223e 3c70 7265 3e3c 636f 6465  0114"><pre><code
│ │ │ -00055ed0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -00055ee0: 616d 6520 3d20 2272 7379 736c 6f67 220a  ame = "rsyslog".
│ │ │ -00055ef0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ -00055f00: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00055f10: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00055f20: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00055f30: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00055f40: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00055f50: 2369 646d 3130 3131 3522 2074 6162 696e  #idm10115" tabin
│ │ │ -00055f60: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00055f70: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00055f80: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00055f90: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00055fa0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00055fb0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00055fc0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00055fd0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00055fe0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00055ff0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00056000: 6964 6d31 3031 3135 223e 3c74 6162 6c65  idm10115"><table
│ │ │ -00056010: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00056020: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00056030: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00056040: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00056050: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00056060: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00056070: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00056080: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00056090: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000560a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -000560b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -000560c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000560d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -000560e0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -000560f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00056100: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ -00056110: 6c5f 7273 7973 6c6f 670a 0a63 6c61 7373  l_rsyslog..class
│ │ │ -00056120: 2069 6e73 7461 6c6c 5f72 7379 736c 6f67   install_rsyslog
│ │ │ -00056130: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -00056140: 7273 7973 6c6f 6727 3a0a 2020 2020 656e  rsyslog':.    en
│ │ │ -00056150: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ -00056160: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ -00056170: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00056180: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00056190: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -000561a0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -000561b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -000561c0: 2369 646d 3130 3131 3622 2074 6162 696e  #idm10116" tabin
│ │ │ -000561d0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000561e0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000561f0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00056200: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00056210: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00056220: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00056230: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00056240: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00056250: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00056260: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00056270: 2269 646d 3130 3131 3622 3e3c 7461 626c  "idm10116"><tabl
│ │ │ -00056280: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00056290: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -000562a0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -000562b0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -000562c0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -000562d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000562e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000562f0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00056300: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00056310: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00056320: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00056330: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00056340: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00056350: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00056360: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00056370: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00056380: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00056390: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -000563a0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -000563b0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -000563c0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -000563d0: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -000563e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -000563f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00056400: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00056410: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -00056420: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -00056430: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -00056440: 636b 6167 655f 7273 7973 6c6f 675f 696e  ckage_rsyslog_in
│ │ │ -00056450: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ -00056460: 2045 6e73 7572 6520 7273 7973 6c6f 6720   Ensure rsyslog 
│ │ │ -00056470: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ -00056480: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00056490: 3a20 7273 7973 6c6f 670a 2020 2020 7374  : rsyslog.    st
│ │ │ -000564a0: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -000564b0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -000564c0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -000564d0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -000564e0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -000564f0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00056500: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00056510: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00056520: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00056530: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00056540: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00056550: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00056560: 0a20 202d 2070 6163 6b61 6765 5f72 7379  .  - package_rsy
│ │ │ -00056570: 736c 6f67 5f69 6e73 7461 6c6c 6564 0a3c  slog_installed.<
│ │ │ -00056580: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00056590: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -000565a0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -000565b0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -000565c0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -000565d0: 2223 6964 6d31 3031 3137 2220 7461 6269  "#idm10117" tabi
│ │ │ -000565e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -000565f0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00056600: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00056610: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00056620: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00056630: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -00056640: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -00056650: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00056660: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00056670: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00056680: 646d 3130 3131 3722 3e3c 7461 626c 6520  dm10117"><table 
│ │ │ -00056690: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -000566a0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -000566b0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -000566c0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -000566d0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -000566e0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000566f0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00056700: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00056710: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00056720: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00056730: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00056740: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00056750: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00056760: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00056770: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00056780: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ -00056790: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ -000567a0: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ -000567b0: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ -000567c0: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ -000567d0: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ -000567e0: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ -000567f0: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ -00056800: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ -00056810: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ -00056820: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ -00056830: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -00056840: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ -00056850: 6e73 7461 6c6c 202d 7920 2272 7379 736c  nstall -y "rsysl
│ │ │ -00056860: 6f67 220a 0a65 6c73 650a 2020 2020 2667  og"..else.    &g
│ │ │ -00056870: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ -00056880: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ -00056890: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ -000568a0: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ -000568b0: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +00055e60: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00055e70: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00055e80: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00055e90: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00055ea0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00055eb0: 3d22 6964 6d31 3031 3134 223e 3c74 6162  ="idm10114"><tab
│ │ │ +00055ec0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00055ed0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00055ee0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00055ef0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00055f00: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00055f10: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00055f20: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00055f30: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00055f40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00055f50: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00055f60: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00055f70: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00055f80: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00055f90: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00055fa0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00055fb0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +00055fc0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +00055fd0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +00055fe0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +00055ff0: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +00056000: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00056010: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00056020: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00056030: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00056040: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00056050: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00056060: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00056070: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00056080: 6163 6b61 6765 5f72 7379 736c 6f67 5f69  ackage_rsyslog_i
│ │ │ +00056090: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ +000560a0: 3a20 456e 7375 7265 2072 7379 736c 6f67  : Ensure rsyslog
│ │ │ +000560b0: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ +000560c0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +000560d0: 653a 2072 7379 736c 6f67 0a20 2020 2073  e: rsyslog.    s
│ │ │ +000560e0: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ +000560f0: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ +00056100: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ +00056110: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00056120: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00056130: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00056140: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +00056150: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +00056160: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00056170: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00056180: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00056190: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +000561a0: 640a 2020 2d20 7061 636b 6167 655f 7273  d.  - package_rs
│ │ │ +000561b0: 7973 6c6f 675f 696e 7374 616c 6c65 640a  yslog_installed.
│ │ │ +000561c0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000561d0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000561e0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000561f0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00056200: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00056210: 3d22 2369 646d 3130 3131 3522 2074 6162  ="#idm10115" tab
│ │ │ +00056220: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00056230: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00056240: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00056250: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00056260: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00056270: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ +00056280: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ +00056290: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +000562a0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +000562b0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +000562c0: 6964 6d31 3031 3135 223e 3c74 6162 6c65  idm10115"><table
│ │ │ +000562d0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000562e0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000562f0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00056300: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00056310: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00056320: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00056330: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00056340: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00056350: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00056360: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00056370: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00056380: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00056390: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +000563a0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000563b0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000563c0: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ +000563d0: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ +000563e0: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ +000563f0: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ +00056400: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ +00056410: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ +00056420: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ +00056430: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ +00056440: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ +00056450: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ +00056460: 643b 2074 6865 6e0a 0a44 4542 4941 4e5f  d; then..DEBIAN_
│ │ │ +00056470: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +00056480: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +00056490: 696e 7374 616c 6c20 2d79 2022 7273 7973  install -y "rsys
│ │ │ +000564a0: 6c6f 6722 0a0a 656c 7365 0a20 2020 2026  log"..else.    &
│ │ │ +000564b0: 6774 3b26 616d 703b 3220 6563 686f 2027  gt;&amp;2 echo '
│ │ │ +000564c0: 5265 6d65 6469 6174 696f 6e20 6973 206e  Remediation is n
│ │ │ +000564d0: 6f74 2061 7070 6c69 6361 626c 652c 206e  ot applicable, n
│ │ │ +000564e0: 6f74 6869 6e67 2077 6173 2064 6f6e 6527  othing was done'
│ │ │ +000564f0: 0a66 690a 3c2f 636f 6465 3e3c 2f70 7265  .fi.</code></pre
│ │ │ +00056500: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00056510: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00056520: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00056530: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00056540: 7267 6574 3d22 2369 646d 3130 3131 3622  rget="#idm10116"
│ │ │ +00056550: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00056560: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00056570: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00056580: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00056590: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +000565a0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +000565b0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +000565c0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +000565d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000565e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000565f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00056600: 2269 646d 3130 3131 3622 3e3c 7072 653e  "idm10116"><pre>
│ │ │ +00056610: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +00056620: 735d 5d0a 6e61 6d65 203d 2022 7273 7973  s]].name = "rsys
│ │ │ +00056630: 6c6f 6722 0a76 6572 7369 6f6e 203d 2022  log".version = "
│ │ │ +00056640: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ +00056650: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00056660: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00056670: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00056680: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00056690: 6765 743d 2223 6964 6d31 3031 3137 2220  get="#idm10117" 
│ │ │ +000566a0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +000566b0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +000566c0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +000566d0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +000566e0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +000566f0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00056700: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00056710: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00056720: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00056730: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00056740: 2069 643d 2269 646d 3130 3131 3722 3e3c   id="idm10117"><
│ │ │ +00056750: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00056760: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00056770: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00056780: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00056790: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +000567a0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +000567b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000567c0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +000567d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000567e0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +000567f0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00056800: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00056810: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00056820: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00056830: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00056840: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ +00056850: 6e73 7461 6c6c 5f72 7379 736c 6f67 0a0a  nstall_rsyslog..
│ │ │ +00056860: 636c 6173 7320 696e 7374 616c 6c5f 7273  class install_rs
│ │ │ +00056870: 7973 6c6f 6720 7b0a 2020 7061 636b 6167  yslog {.  packag
│ │ │ +00056880: 6520 7b20 2772 7379 736c 6f67 273a 0a20  e { 'rsyslog':. 
│ │ │ +00056890: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +000568a0: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ +000568b0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  000568c0: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  000568d0: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  000568e0: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  000568f0: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  00056900: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  00056910: 6a65 6374 2e63 6f6e 7465 6e74 5f72 756c  ject.content_rul
│ │ │  00056920: 655f 7365 7276 6963 655f 7273 7973 6c6f  e_service_rsyslo
│ │ │ @@ -22386,149 +22386,149 @@
│ │ │  00057710: 6765 743d 2223 6964 6d31 3032 3030 2220  get="#idm10200" 
│ │ │  00057720: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00057730: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00057740: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00057750: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00057760: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00057770: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00057780: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -00057790: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -000577a0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000577b0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -000577c0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -000577d0: 6964 6d31 3032 3030 223e 3c70 7265 3e3c  idm10200"><pre><
│ │ │ -000577e0: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ -000577f0: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ -00057800: 656e 6162 6c65 6420 3d20 5b22 7273 7973  enabled = ["rsys
│ │ │ -00057810: 6c6f 6722 5d0a 3c2f 636f 6465 3e3c 2f70  log"].</code></p
│ │ │ -00057820: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00057830: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00057840: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00057850: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00057860: 7461 7267 6574 3d22 2369 646d 3130 3230  target="#idm1020
│ │ │ -00057870: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ -00057880: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00057890: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -000578a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -000578b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000578c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000578d0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -000578e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000578f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00057900: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00057910: 7365 2220 6964 3d22 6964 6d31 3032 3031  se" id="idm10201
│ │ │ -00057920: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00057930: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00057940: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00057950: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00057960: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00057970: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00057980: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00057990: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000579a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000579b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000579c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000579d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000579e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000579f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00057a00: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00057a10: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00057a20: 6520 656e 6162 6c65 5f72 7379 736c 6f67  e enable_rsyslog
│ │ │ -00057a30: 0a0a 636c 6173 7320 656e 6162 6c65 5f72  ..class enable_r
│ │ │ -00057a40: 7379 736c 6f67 207b 0a20 2073 6572 7669  syslog {.  servi
│ │ │ -00057a50: 6365 207b 2772 7379 736c 6f67 273a 0a20  ce {'rsyslog':. 
│ │ │ -00057a60: 2020 2065 6e61 626c 6520 3d26 6774 3b20     enable =&gt; 
│ │ │ -00057a70: 7472 7565 2c0a 2020 2020 656e 7375 7265  true,.    ensure
│ │ │ -00057a80: 203d 2667 743b 2027 7275 6e6e 696e 6727   =&gt; 'running'
│ │ │ -00057a90: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00057aa0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00057ab0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00057ac0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00057ad0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00057ae0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00057af0: 3230 3222 2074 6162 696e 6465 783d 2230  202" tabindex="0
│ │ │ -00057b00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00057b10: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00057b20: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00057b30: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00057b40: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00057b50: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00057b60: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00057b70: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00057b80: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00057b90: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00057ba0: 3230 3222 3e3c 7461 626c 6520 636c 6173  202"><table clas
│ │ │ -00057bb0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00057bc0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00057bd0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00057be0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00057bf0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00057c00: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00057c10: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00057c20: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00057c30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00057c40: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00057c50: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00057c60: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00057c70: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00057c80: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00057c90: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00057ca0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -00057cb0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -00057cc0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -00057cd0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00057ce0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00057cf0: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ -00057d00: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00057d10: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -00057d20: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00057d30: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00057d40: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00057d50: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00057d60: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00057d70: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00057d80: 7365 7276 6963 655f 7273 7973 6c6f 675f  service_rsyslog_
│ │ │ -00057d90: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ -00057da0: 2045 6e61 626c 6520 7273 7973 6c6f 6720   Enable rsyslog 
│ │ │ -00057db0: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -00057dc0: 2073 6572 7669 6365 2072 7379 736c 6f67   service rsyslog
│ │ │ -00057dd0: 0a20 2062 6c6f 636b 3a0a 0a20 202d 206e  .  block:..  - n
│ │ │ -00057de0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -00057df0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -00057e00: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00057e10: 0a20 2020 2020 206d 616e 6167 6572 3a20  .      manager: 
│ │ │ -00057e20: 6175 746f 0a0a 2020 2d20 6e61 6d65 3a20  auto..  - name: 
│ │ │ -00057e30: 456e 6162 6c65 2072 7379 736c 6f67 2053  Enable rsyslog S
│ │ │ -00057e40: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ -00057e50: 5365 7276 6963 6520 7273 7973 6c6f 670a  Service rsyslog.
│ │ │ -00057e60: 2020 2020 616e 7369 626c 652e 6275 696c      ansible.buil
│ │ │ -00057e70: 7469 6e2e 7379 7374 656d 643a 0a20 2020  tin.systemd:.   
│ │ │ -00057e80: 2020 206e 616d 653a 2072 7379 736c 6f67     name: rsyslog
│ │ │ -00057e90: 0a20 2020 2020 2065 6e61 626c 6564 3a20  .      enabled: 
│ │ │ -00057ea0: 7472 7565 0a20 2020 2020 2073 7461 7465  true.      state
│ │ │ -00057eb0: 3a20 7374 6172 7465 640a 2020 2020 2020  : started.      
│ │ │ -00057ec0: 6d61 736b 6564 3a20 6661 6c73 650a 2020  masked: false.  
│ │ │ -00057ed0: 2020 7768 656e 3a0a 2020 2020 2d20 2722    when:.    - '"
│ │ │ -00057ee0: 7273 7973 6c6f 6722 2069 6e20 616e 7369  rsyslog" in ansi
│ │ │ -00057ef0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -00057f00: 6573 270a 2020 7768 656e 3a20 2722 6c69  es'.  when: '"li
│ │ │ -00057f10: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -00057f20: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -00057f30: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -00057f40: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00057f50: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ -00057f60: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00057f70: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00057f80: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00057f90: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00057fa0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00057fb0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00057fc0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00057fd0: 2020 2d20 7365 7276 6963 655f 7273 7973    - service_rsys
│ │ │ -00057fe0: 6c6f 675f 656e 6162 6c65 640a 3c2f 636f  log_enabled.</co
│ │ │ +00057780: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00057790: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +000577a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +000577b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +000577c0: 2220 6964 3d22 6964 6d31 3032 3030 223e  " id="idm10200">
│ │ │ +000577d0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000577e0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000577f0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00057800: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00057810: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00057820: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00057830: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00057840: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00057850: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00057860: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00057870: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00057880: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00057890: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +000578a0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +000578b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +000578c0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +000578d0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +000578e0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +000578f0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +00057900: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +00057910: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00057920: 2d35 332d 4155 2d34 2831 290a 2020 2d20  -53-AU-4(1).  - 
│ │ │ +00057930: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +00057940: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ +00057950: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00057960: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00057970: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00057980: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00057990: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +000579a0: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ +000579b0: 6365 5f72 7379 736c 6f67 5f65 6e61 626c  ce_rsyslog_enabl
│ │ │ +000579c0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ +000579d0: 6c65 2072 7379 736c 6f67 2053 6572 7669  le rsyslog Servi
│ │ │ +000579e0: 6365 202d 2045 6e61 626c 6520 7365 7276  ce - Enable serv
│ │ │ +000579f0: 6963 6520 7273 7973 6c6f 670a 2020 626c  ice rsyslog.  bl
│ │ │ +00057a00: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ +00057a10: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00057a20: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ +00057a30: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00057a40: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00057a50: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ +00057a60: 6520 7273 7973 6c6f 6720 5365 7276 6963  e rsyslog Servic
│ │ │ +00057a70: 6520 2d20 456e 6162 6c65 2053 6572 7669  e - Enable Servi
│ │ │ +00057a80: 6365 2072 7379 736c 6f67 0a20 2020 2061  ce rsyslog.    a
│ │ │ +00057a90: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ +00057aa0: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ +00057ab0: 6d65 3a20 7273 7973 6c6f 670a 2020 2020  me: rsyslog.    
│ │ │ +00057ac0: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ +00057ad0: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ +00057ae0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ +00057af0: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ +00057b00: 6e3a 0a20 2020 202d 2027 2272 7379 736c  n:.    - '"rsysl
│ │ │ +00057b10: 6f67 2220 696e 2061 6e73 6962 6c65 5f66  og" in ansible_f
│ │ │ +00057b20: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00057b30: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00057b40: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00057b50: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00057b60: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00057b70: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +00057b80: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00057b90: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00057ba0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00057bb0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00057bc0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00057bd0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00057be0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00057bf0: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00057c00: 6572 7669 6365 5f72 7379 736c 6f67 5f65  ervice_rsyslog_e
│ │ │ +00057c10: 6e61 626c 6564 0a3c 2f63 6f64 653e 3c2f  nabled.</code></
│ │ │ +00057c20: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00057c30: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00057c40: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00057c50: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00057c60: 2d74 6172 6765 743d 2223 6964 6d31 3032  -target="#idm102
│ │ │ +00057c70: 3031 2220 7461 6269 6e64 6578 3d22 3022  01" tabindex="0"
│ │ │ +00057c80: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00057c90: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00057ca0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00057cb0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00057cc0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00057cd0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +00057ce0: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +00057cf0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00057d00: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00057d10: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00057d20: 6964 3d22 6964 6d31 3032 3031 223e 3c70  id="idm10201"><p
│ │ │ +00057d30: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +00057d40: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +00057d50: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +00057d60: 7273 7973 6c6f 6722 5d0a 3c2f 636f 6465  rsyslog"].</code
│ │ │ +00057d70: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00057d80: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00057d90: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00057da0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00057db0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00057dc0: 3130 3230 3222 2074 6162 696e 6465 783d  10202" tabindex=
│ │ │ +00057dd0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00057de0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00057df0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00057e00: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00057e10: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00057e20: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00057e30: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00057e40: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00057e50: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00057e60: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00057e70: 3032 3032 223e 3c74 6162 6c65 2063 6c61  0202"><table cla
│ │ │ +00057e80: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00057e90: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00057ea0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00057eb0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00057ec0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00057ed0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00057ee0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00057ef0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00057f00: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00057f10: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00057f20: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00057f30: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00057f40: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00057f50: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00057f60: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00057f70: 636c 7564 6520 656e 6162 6c65 5f72 7379  clude enable_rsy
│ │ │ +00057f80: 736c 6f67 0a0a 636c 6173 7320 656e 6162  slog..class enab
│ │ │ +00057f90: 6c65 5f72 7379 736c 6f67 207b 0a20 2073  le_rsyslog {.  s
│ │ │ +00057fa0: 6572 7669 6365 207b 2772 7379 736c 6f67  ervice {'rsyslog
│ │ │ +00057fb0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ +00057fc0: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ +00057fd0: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ +00057fe0: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │  00057ff0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00058000: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00058010: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00058020: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00058030: 612d 7474 2d69 643d 2263 6869 6c64 7265  a-tt-id="childre
│ │ │  00058040: 6e2d 7863 6364 665f 6f72 672e 7373 6770  n-xccdf_org.ssgp
│ │ │  00058050: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f67  roject.content_g
│ │ │ @@ -30466,183 +30466,183 @@
│ │ │  00077010: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00077020: 2369 646d 3139 3434 3622 2074 6162 696e  #idm19446" tabin
│ │ │  00077030: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00077040: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00077050: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00077060: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00077070: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00077080: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -00077090: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -000770a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -000770b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000770c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000770d0: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ -000770e0: 3434 3622 3e3c 7072 653e 3c63 6f64 653e  446"><pre><code>
│ │ │ -000770f0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -00077100: 6d65 203d 2022 6372 6f6e 220a 7665 7273  me = "cron".vers
│ │ │ -00077110: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ -00077120: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00077130: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00077140: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00077150: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00077160: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00077170: 3139 3434 3722 2074 6162 696e 6465 783d  19447" tabindex=
│ │ │ -00077180: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00077190: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -000771a0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -000771b0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -000771c0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -000771d0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -000771e0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -000771f0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077200: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077210: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00077220: 3934 3437 223e 3c74 6162 6c65 2063 6c61  9447"><table cla
│ │ │ -00077230: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00077240: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00077250: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00077260: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00077270: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00077280: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077290: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -000772a0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -000772b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000772c0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -000772d0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -000772e0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -000772f0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00077300: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00077310: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00077320: 636c 7564 6520 696e 7374 616c 6c5f 6372  clude install_cr
│ │ │ -00077330: 6f6e 0a0a 636c 6173 7320 696e 7374 616c  on..class instal
│ │ │ -00077340: 6c5f 6372 6f6e 207b 0a20 2070 6163 6b61  l_cron {.  packa
│ │ │ -00077350: 6765 207b 2027 6372 6f6e 273a 0a20 2020  ge { 'cron':.   
│ │ │ -00077360: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -00077370: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -00077380: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00077390: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -000773a0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -000773b0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -000773c0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -000773d0: 743d 2223 6964 6d31 3934 3438 2220 7461  t="#idm19448" ta
│ │ │ -000773e0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -000773f0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00077400: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00077410: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00077420: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00077430: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00077440: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00077450: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00077460: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00077470: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00077480: 6964 3d22 6964 6d31 3934 3438 223e 3c74  id="idm19448"><t
│ │ │ -00077490: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -000774a0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000774b0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000774c0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -000774d0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -000774e0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -000774f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00077500: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00077510: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00077520: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00077530: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00077540: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00077550: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00077560: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00077570: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00077580: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -00077590: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -000775a0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -000775b0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -000775c0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -000775d0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -000775e0: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -000775f0: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -00077600: 5043 492d 4453 5376 342d 322e 322e 360a  PCI-DSSv4-2.2.6.
│ │ │ -00077610: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -00077620: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00077630: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00077640: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -00077650: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -00077660: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -00077670: 6564 0a20 202d 2070 6163 6b61 6765 5f63  ed.  - package_c
│ │ │ -00077680: 726f 6e5f 696e 7374 616c 6c65 640a 0a2d  ron_installed..-
│ │ │ -00077690: 206e 616d 653a 2045 6e73 7572 6520 6372   name: Ensure cr
│ │ │ -000776a0: 6f6e 2069 7320 696e 7374 616c 6c65 640a  on is installed.
│ │ │ -000776b0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -000776c0: 616d 653a 2063 726f 6e0a 2020 2020 7374  ame: cron.    st
│ │ │ -000776d0: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -000776e0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -000776f0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00077700: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00077710: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00077720: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00077730: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00077740: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00077750: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ -00077760: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00077770: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00077780: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00077790: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -000777a0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -000777b0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000777c0: 6765 5f63 726f 6e5f 696e 7374 616c 6c65  ge_cron_installe
│ │ │ -000777d0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -000777e0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -000777f0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00077800: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00077810: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00077820: 6574 3d22 2369 646d 3139 3434 3922 2074  et="#idm19449" t
│ │ │ -00077830: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00077840: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00077850: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00077860: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00077870: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00077880: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00077890: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -000778a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000778b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000778c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -000778d0: 3d22 6964 6d31 3934 3439 223e 3c74 6162  ="idm19449"><tab
│ │ │ -000778e0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000778f0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00077900: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00077910: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00077920: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00077930: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00077940: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00077950: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00077960: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00077970: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00077980: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00077990: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000779a0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000779b0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -000779c0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000779d0: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ -000779e0: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ -000779f0: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ -00077a00: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ -00077a10: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ -00077a20: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ -00077a30: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ -00077a40: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ -00077a50: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ -00077a60: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ -00077a70: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ -00077a80: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -00077a90: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -00077aa0: 7420 696e 7374 616c 6c20 2d79 2022 6372  t install -y "cr
│ │ │ -00077ab0: 6f6e 220a 0a65 6c73 650a 2020 2020 2667  on"..else.    &g
│ │ │ -00077ac0: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ -00077ad0: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ -00077ae0: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ -00077af0: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ -00077b00: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +00077080: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00077090: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +000770a0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000770b0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000770c0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000770d0: 2269 646d 3139 3434 3622 3e3c 7461 626c  "idm19446"><tabl
│ │ │ +000770e0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +000770f0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00077100: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00077110: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00077120: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00077130: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00077140: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00077150: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00077160: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00077170: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00077180: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00077190: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000771a0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +000771b0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +000771c0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000771d0: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +000771e0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +000771f0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +00077200: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +00077210: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +00077220: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00077230: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +00077240: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +00077250: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ +00077260: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00077270: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00077280: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00077290: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +000772a0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +000772b0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +000772c0: 2020 2d20 7061 636b 6167 655f 6372 6f6e    - package_cron
│ │ │ +000772d0: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ +000772e0: 6d65 3a20 456e 7375 7265 2063 726f 6e20  me: Ensure cron 
│ │ │ +000772f0: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +00077300: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +00077310: 3a20 6372 6f6e 0a20 2020 2073 7461 7465  : cron.    state
│ │ │ +00077320: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ +00077330: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +00077340: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +00077350: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +00077360: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00077370: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +00077380: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +00077390: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ +000773a0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +000773b0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +000773c0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +000773d0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +000773e0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +000773f0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00077400: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00077410: 6372 6f6e 5f69 6e73 7461 6c6c 6564 0a3c  cron_installed.<
│ │ │ +00077420: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00077430: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00077440: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00077450: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00077460: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00077470: 2223 6964 6d31 3934 3437 2220 7461 6269  "#idm19447" tabi
│ │ │ +00077480: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00077490: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000774a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000774b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +000774c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +000774d0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +000774e0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +000774f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00077500: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00077510: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00077520: 646d 3139 3434 3722 3e3c 7461 626c 6520  dm19447"><table 
│ │ │ +00077530: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00077540: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00077550: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00077560: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00077570: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00077580: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00077590: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000775a0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000775b0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000775c0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000775d0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000775e0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +000775f0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00077600: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00077610: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00077620: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ +00077630: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ +00077640: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ +00077650: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ +00077660: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ +00077670: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ +00077680: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ +00077690: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ +000776a0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ +000776b0: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ +000776c0: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ +000776d0: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +000776e0: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ +000776f0: 6e73 7461 6c6c 202d 7920 2263 726f 6e22  nstall -y "cron"
│ │ │ +00077700: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ +00077710: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ +00077720: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ +00077730: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ +00077740: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +00077750: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00077760: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00077770: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00077780: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00077790: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000777a0: 3d22 2369 646d 3139 3434 3822 2074 6162  ="#idm19448" tab
│ │ │ +000777b0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +000777c0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +000777d0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000777e0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000777f0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00077800: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +00077810: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +00077820: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00077830: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00077840: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00077850: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00077860: 3139 3434 3822 3e3c 7072 653e 3c63 6f64  19448"><pre><cod
│ │ │ +00077870: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ +00077880: 6e61 6d65 203d 2022 6372 6f6e 220a 7665  name = "cron".ve
│ │ │ +00077890: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ +000778a0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +000778b0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +000778c0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +000778d0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +000778e0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +000778f0: 646d 3139 3434 3922 2074 6162 696e 6465  dm19449" tabinde
│ │ │ +00077900: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00077910: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00077920: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00077930: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00077940: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00077950: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +00077960: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00077970: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00077980: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00077990: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000779a0: 6d31 3934 3439 223e 3c74 6162 6c65 2063  m19449"><table c
│ │ │ +000779b0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000779c0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000779d0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000779e0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000779f0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00077a00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00077a10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00077a20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00077a30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00077a40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00077a50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00077a60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00077a70: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00077a80: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00077a90: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00077aa0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +00077ab0: 6372 6f6e 0a0a 636c 6173 7320 696e 7374  cron..class inst
│ │ │ +00077ac0: 616c 6c5f 6372 6f6e 207b 0a20 2070 6163  all_cron {.  pac
│ │ │ +00077ad0: 6b61 6765 207b 2027 6372 6f6e 273a 0a20  kage { 'cron':. 
│ │ │ +00077ae0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +00077af0: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ +00077b00: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  00077b10: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  00077b20: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  00077b30: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  00077b40: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  00077b50: 6368 696c 6472 656e 2d78 6363 6466 5f6f  children-xccdf_o
│ │ │  00077b60: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  00077b70: 6e74 656e 745f 6772 6f75 705f 6465 7072  ntent_group_depr
│ │ │ @@ -30922,147 +30922,147 @@
│ │ │  00078c90: 7267 6574 3d22 2369 646d 3139 3633 3722  rget="#idm19637"
│ │ │  00078ca0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00078cb0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00078cc0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00078cd0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00078ce0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00078cf0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00078d00: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00078d10: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00078d20: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00078d30: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00078d40: 2220 6964 3d22 6964 6d31 3936 3337 223e  " id="idm19637">
│ │ │ -00078d50: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00078d60: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00078d70: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00078d80: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00078d90: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00078da0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00078db0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00078dc0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00078dd0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00078de0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00078df0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00078e00: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00078e10: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00078e20: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00078e30: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00078e40: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00078e50: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ -00078e60: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ -00078e70: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ -00078e80: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ -00078e90: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ -00078ea0: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ -00078eb0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -00078ec0: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -00078ed0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00078ee0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00078ef0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00078f00: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00078f10: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00078f20: 2369 646d 3139 3633 3822 2074 6162 696e  #idm19638" tabin
│ │ │ -00078f30: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00078f40: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00078f50: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00078f60: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00078f70: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00078f80: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00078f90: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00078fa0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00078fb0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00078fc0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00078fd0: 2269 646d 3139 3633 3822 3e3c 7461 626c  "idm19638"><tabl
│ │ │ -00078fe0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00078ff0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00079000: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00079010: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00079020: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00079030: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00079040: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00079050: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00079060: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00079070: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00079080: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00079090: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000790a0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000790b0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -000790c0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000790d0: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -000790e0: 7265 2069 6e65 7475 7469 6c73 2d74 656c  re inetutils-tel
│ │ │ -000790f0: 6e65 7464 2069 7320 7265 6d6f 7665 640a  netd is removed.
│ │ │ -00079100: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -00079110: 616d 653a 2069 6e65 7475 7469 6c73 2d74  ame: inetutils-t
│ │ │ -00079120: 656c 6e65 7464 0a20 2020 2073 7461 7465  elnetd.    state
│ │ │ -00079130: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ -00079140: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00079150: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ -00079160: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ -00079170: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00079180: 2d43 4d2d 3728 6229 0a20 202d 2064 6973  -CM-7(b).  - dis
│ │ │ -00079190: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -000791a0: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ -000791b0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -000791c0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -000791d0: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -000791e0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -000791f0: 6163 6b61 6765 5f69 6e65 7475 7469 6c73  ackage_inetutils
│ │ │ -00079200: 2d74 656c 6e65 7464 5f72 656d 6f76 6564  -telnetd_removed
│ │ │ -00079210: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00079220: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00079230: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00079240: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00079250: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00079260: 743d 2223 6964 6d31 3936 3339 2220 7461  t="#idm19639" ta
│ │ │ -00079270: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00079280: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00079290: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -000792a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -000792b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -000792c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000792d0: 5368 656c 6c20 7363 7269 7074 20e2 87b2  Shell script ...
│ │ │ -000792e0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000792f0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00079300: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00079310: 2269 646d 3139 3633 3922 3e3c 7461 626c  "idm19639"><tabl
│ │ │ -00079320: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00079330: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00079340: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00079350: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00079360: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00079370: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00079380: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00079390: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000793a0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000793b0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -000793c0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000793d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000793e0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000793f0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00079400: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00079410: 6f64 653e 0a23 2043 4155 5449 4f4e 3a20  ode>.# CAUTION: 
│ │ │ -00079420: 5468 6973 2072 656d 6564 6961 7469 6f6e  This remediation
│ │ │ -00079430: 2073 6372 6970 7420 7769 6c6c 2072 656d   script will rem
│ │ │ -00079440: 6f76 6520 696e 6574 7574 696c 732d 7465  ove inetutils-te
│ │ │ -00079450: 6c6e 6574 640a 2309 2020 2066 726f 6d20  lnetd.#.   from 
│ │ │ -00079460: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -00079470: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -00079480: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -00079490: 7420 6465 7065 6e64 206f 6e20 696e 6574  t depend on inet
│ │ │ -000794a0: 7574 696c 732d 7465 6c6e 6574 642e 2045  utils-telnetd. E
│ │ │ -000794b0: 7865 6375 7465 2074 6869 730a 2309 2020  xecute this.#.  
│ │ │ -000794c0: 2072 656d 6564 6961 7469 6f6e 2041 4654   remediation AFT
│ │ │ -000794d0: 4552 2074 6573 7469 6e67 206f 6e20 6120  ER testing on a 
│ │ │ -000794e0: 6e6f 6e2d 7072 6f64 7563 7469 6f6e 0a23  non-production.#
│ │ │ -000794f0: 0920 2020 7379 7374 656d 210a 0a44 4542  .   system!..DEB
│ │ │ -00079500: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ -00079510: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ -00079520: 6765 7420 7265 6d6f 7665 202d 7920 2269  get remove -y "i
│ │ │ -00079530: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -00079540: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +00078d00: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00078d10: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00078d20: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00078d30: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00078d40: 6522 2069 643d 2269 646d 3139 3633 3722  e" id="idm19637"
│ │ │ +00078d50: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00078d60: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00078d70: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00078d80: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00078d90: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00078da0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00078db0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00078dc0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00078dd0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078de0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00078df0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00078e00: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00078e10: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00078e20: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00078e30: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00078e40: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00078e50: 3a20 456e 7375 7265 2069 6e65 7475 7469  : Ensure inetuti
│ │ │ +00078e60: 6c73 2d74 656c 6e65 7464 2069 7320 7265  ls-telnetd is re
│ │ │ +00078e70: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +00078e80: 0a20 2020 206e 616d 653a 2069 6e65 7475  .    name: inetu
│ │ │ +00078e90: 7469 6c73 2d74 656c 6e65 7464 0a20 2020  tils-telnetd.   
│ │ │ +00078ea0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00078eb0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00078ec0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00078ed0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00078ee0: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ +00078ef0: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ +00078f00: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +00078f10: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +00078f20: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +00078f30: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00078f40: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00078f50: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00078f60: 0a20 202d 2070 6163 6b61 6765 5f69 6e65  .  - package_ine
│ │ │ +00078f70: 7475 7469 6c73 2d74 656c 6e65 7464 5f72  tutils-telnetd_r
│ │ │ +00078f80: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +00078f90: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00078fa0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00078fb0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00078fc0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00078fd0: 2d74 6172 6765 743d 2223 6964 6d31 3936  -target="#idm196
│ │ │ +00078fe0: 3338 2220 7461 6269 6e64 6578 3d22 3022  38" tabindex="0"
│ │ │ +00078ff0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00079000: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00079010: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00079020: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00079030: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00079040: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ +00079050: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ +00079060: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00079070: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00079080: 6522 2069 643d 2269 646d 3139 3633 3822  e" id="idm19638"
│ │ │ +00079090: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000790a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000790b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000790c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +000790d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000790e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000790f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00079100: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00079110: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00079120: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00079130: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00079140: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00079150: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00079160: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00079170: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00079180: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ +00079190: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ +000791a0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ +000791b0: 6c6c 2072 656d 6f76 6520 696e 6574 7574  ll remove inetut
│ │ │ +000791c0: 696c 732d 7465 6c6e 6574 640a 2309 2020  ils-telnetd.#.  
│ │ │ +000791d0: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ +000791e0: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ +000791f0: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ +00079200: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ +00079210: 6e20 696e 6574 7574 696c 732d 7465 6c6e  n inetutils-teln
│ │ │ +00079220: 6574 642e 2045 7865 6375 7465 2074 6869  etd. Execute thi
│ │ │ +00079230: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ +00079240: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ +00079250: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ +00079260: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ +00079270: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ +00079280: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +00079290: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ +000792a0: 202d 7920 2269 6e65 7475 7469 6c73 2d74   -y "inetutils-t
│ │ │ +000792b0: 656c 6e65 7464 220a 3c2f 636f 6465 3e3c  elnetd".</code><
│ │ │ +000792c0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +000792d0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000792e0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000792f0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00079300: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +00079310: 3633 3922 2074 6162 696e 6465 783d 2230  639" tabindex="0
│ │ │ +00079320: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00079330: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00079340: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00079350: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00079360: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00079370: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00079380: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00079390: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000793a0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000793b0: 6170 7365 2220 6964 3d22 6964 6d31 3936  apse" id="idm196
│ │ │ +000793c0: 3339 223e 3c74 6162 6c65 2063 6c61 7373  39"><table class
│ │ │ +000793d0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +000793e0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +000793f0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00079400: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00079410: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00079420: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00079430: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00079440: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00079450: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00079460: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00079470: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00079480: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00079490: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +000794a0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +000794b0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +000794c0: 6c75 6465 2072 656d 6f76 655f 696e 6574  lude remove_inet
│ │ │ +000794d0: 7574 696c 732d 7465 6c6e 6574 640a 0a63  utils-telnetd..c
│ │ │ +000794e0: 6c61 7373 2072 656d 6f76 655f 696e 6574  lass remove_inet
│ │ │ +000794f0: 7574 696c 732d 7465 6c6e 6574 6420 7b0a  utils-telnetd {.
│ │ │ +00079500: 2020 7061 636b 6167 6520 7b20 2769 6e65    package { 'ine
│ │ │ +00079510: 7475 7469 6c73 2d74 656c 6e65 7464 273a  tutils-telnetd':
│ │ │ +00079520: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00079530: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +00079540: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00079550: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00079560: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00079570: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00079580: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  00079590: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  000795a0: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  000795b0: 5f70 6163 6b61 6765 5f6e 6973 5f72 656d  _package_nis_rem
│ │ │ @@ -31157,134 +31157,134 @@
│ │ │  00079b40: 6765 743d 2223 6964 6d31 3936 3436 2220  get="#idm19646" 
│ │ │  00079b50: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00079b60: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00079b70: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00079b80: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00079b90: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00079ba0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00079bb0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00079bc0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00079bd0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00079be0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00079bf0: 2069 643d 2269 646d 3139 3634 3622 3e3c   id="idm19646"><
│ │ │ -00079c00: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00079c10: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00079c20: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00079c30: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00079c40: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00079c50: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00079c60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00079c70: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00079c80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00079c90: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00079ca0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00079cb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00079cc0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00079cd0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00079ce0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00079cf0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00079d00: 7265 6d6f 7665 5f6e 6973 0a0a 636c 6173  remove_nis..clas
│ │ │ -00079d10: 7320 7265 6d6f 7665 5f6e 6973 207b 0a20  s remove_nis {. 
│ │ │ -00079d20: 2070 6163 6b61 6765 207b 2027 6e69 7327   package { 'nis'
│ │ │ -00079d30: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -00079d40: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -00079d50: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -00079d60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00079d70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00079d80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00079d90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00079da0: 6765 743d 2223 6964 6d31 3936 3437 2220  get="#idm19647" 
│ │ │ -00079db0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00079dc0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00079dd0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00079de0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00079df0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00079e00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00079e10: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00079e20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00079e30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00079e40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00079e50: 2220 6964 3d22 6964 6d31 3936 3437 223e  " id="idm19647">
│ │ │ -00079e60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00079e70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00079e80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00079e90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00079ea0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00079eb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00079ec0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00079ed0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00079ee0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079ef0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00079f00: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00079f10: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00079f20: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00079f30: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00079f40: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00079f50: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00079f60: 2045 6e73 7572 6520 6e69 7320 6973 2072   Ensure nis is r
│ │ │ -00079f70: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00079f80: 3a0a 2020 2020 6e61 6d65 3a20 6e69 730a  :.    name: nis.
│ │ │ -00079f90: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -00079fa0: 740a 2020 7461 6773 3a0a 2020 2d20 6469  t.  tags:.  - di
│ │ │ -00079fb0: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -00079fc0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00079fd0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00079fe0: 7469 6f6e 0a20 202d 206c 6f77 5f73 6576  tion.  - low_sev
│ │ │ -00079ff0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -0007a000: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -0007a010: 6163 6b61 6765 5f6e 6973 5f72 656d 6f76  ackage_nis_remov
│ │ │ -0007a020: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -0007a030: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0007a040: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0007a050: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0007a060: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0007a070: 6765 743d 2223 6964 6d31 3936 3438 2220  get="#idm19648" 
│ │ │ -0007a080: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0007a090: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0007a0a0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0007a0b0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0007a0c0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0007a0d0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0007a0e0: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -0007a0f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0007a100: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0007a110: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0007a120: 643d 2269 646d 3139 3634 3822 3e3c 7461  d="idm19648"><ta
│ │ │ -0007a130: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0007a140: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0007a150: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0007a160: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0007a170: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0007a180: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0007a190: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0007a1a0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0007a1b0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0007a1c0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0007a1d0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0007a1e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0007a1f0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0007a200: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -0007a210: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0007a220: 3c63 6f64 653e 0a23 2043 4155 5449 4f4e  <code>.# CAUTION
│ │ │ -0007a230: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ -0007a240: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ -0007a250: 656d 6f76 6520 6e69 730a 2309 2020 2066  emove nis.#.   f
│ │ │ -0007a260: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ -0007a270: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ -0007a280: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ -0007a290: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ -0007a2a0: 6e69 732e 2045 7865 6375 7465 2074 6869  nis. Execute thi
│ │ │ -0007a2b0: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ -0007a2c0: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ -0007a2d0: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ -0007a2e0: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ -0007a2f0: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ -0007a300: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -0007a310: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ -0007a320: 202d 7920 226e 6973 220a 3c2f 636f 6465   -y "nis".</code
│ │ │ +00079bb0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00079bc0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00079bd0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00079be0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00079bf0: 2220 6964 3d22 6964 6d31 3936 3436 223e  " id="idm19646">
│ │ │ +00079c00: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00079c10: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00079c20: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00079c30: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00079c40: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00079c50: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00079c60: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00079c70: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00079c80: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00079c90: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00079ca0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00079cb0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00079cc0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00079cd0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00079ce0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00079cf0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00079d00: 2045 6e73 7572 6520 6e69 7320 6973 2072   Ensure nis is r
│ │ │ +00079d10: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ +00079d20: 3a0a 2020 2020 6e61 6d65 3a20 6e69 730a  :.    name: nis.
│ │ │ +00079d30: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +00079d40: 740a 2020 7461 6773 3a0a 2020 2d20 6469  t.  tags:.  - di
│ │ │ +00079d50: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +00079d60: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00079d70: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00079d80: 7469 6f6e 0a20 202d 206c 6f77 5f73 6576  tion.  - low_sev
│ │ │ +00079d90: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00079da0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00079db0: 6163 6b61 6765 5f6e 6973 5f72 656d 6f76  ackage_nis_remov
│ │ │ +00079dc0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00079dd0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00079de0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00079df0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00079e00: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00079e10: 6765 743d 2223 6964 6d31 3936 3437 2220  get="#idm19647" 
│ │ │ +00079e20: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00079e30: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00079e40: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00079e50: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00079e60: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00079e70: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00079e80: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +00079e90: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00079ea0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00079eb0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00079ec0: 643d 2269 646d 3139 3634 3722 3e3c 7461  d="idm19647"><ta
│ │ │ +00079ed0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00079ee0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00079ef0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00079f00: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00079f10: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00079f20: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00079f30: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00079f40: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00079f50: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00079f60: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00079f70: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00079f80: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00079f90: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00079fa0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00079fb0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00079fc0: 3c63 6f64 653e 0a23 2043 4155 5449 4f4e  <code>.# CAUTION
│ │ │ +00079fd0: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ +00079fe0: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ +00079ff0: 656d 6f76 6520 6e69 730a 2309 2020 2066  emove nis.#.   f
│ │ │ +0007a000: 726f 6d20 7468 6520 7379 7374 656d 2c20  rom the system, 
│ │ │ +0007a010: 616e 6420 6d61 7920 7265 6d6f 7665 2061  and may remove a
│ │ │ +0007a020: 6e79 2070 6163 6b61 6765 730a 2309 2020  ny packages.#.  
│ │ │ +0007a030: 2074 6861 7420 6465 7065 6e64 206f 6e20   that depend on 
│ │ │ +0007a040: 6e69 732e 2045 7865 6375 7465 2074 6869  nis. Execute thi
│ │ │ +0007a050: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ +0007a060: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ +0007a070: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ +0007a080: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ +0007a090: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ +0007a0a0: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +0007a0b0: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ +0007a0c0: 202d 7920 226e 6973 220a 3c2f 636f 6465   -y "nis".</code
│ │ │ +0007a0d0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007a0e0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007a0f0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007a100: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007a110: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007a120: 3139 3634 3822 2074 6162 696e 6465 783d  19648" tabindex=
│ │ │ +0007a130: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007a140: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007a150: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007a160: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007a170: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007a180: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +0007a190: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0007a1a0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0007a1b0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0007a1c0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0007a1d0: 3936 3438 223e 3c74 6162 6c65 2063 6c61  9648"><table cla
│ │ │ +0007a1e0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007a1f0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007a200: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007a210: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007a220: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007a230: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007a240: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007a250: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007a260: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007a270: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007a280: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007a290: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007a2a0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0007a2b0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0007a2c0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +0007a2d0: 6e63 6c75 6465 2072 656d 6f76 655f 6e69  nclude remove_ni
│ │ │ +0007a2e0: 730a 0a63 6c61 7373 2072 656d 6f76 655f  s..class remove_
│ │ │ +0007a2f0: 6e69 7320 7b0a 2020 7061 636b 6167 6520  nis {.  package 
│ │ │ +0007a300: 7b20 276e 6973 273a 0a20 2020 2065 6e73  { 'nis':.    ens
│ │ │ +0007a310: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +0007a320: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  0007a330: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  0007a340: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  0007a350: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  0007a360: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  0007a370: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  0007a380: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  0007a390: 656e 745f 7275 6c65 5f70 6163 6b61 6765  ent_rule_package
│ │ │ @@ -31380,137 +31380,137 @@
│ │ │  0007a930: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0007a940: 646d 3139 3635 3522 2074 6162 696e 6465  dm19655" tabinde
│ │ │  0007a950: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0007a960: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0007a970: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0007a980: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0007a990: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0007a9a0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0007a9b0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0007a9c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007a9d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007a9e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007a9f0: 6d31 3936 3535 223e 3c74 6162 6c65 2063  m19655"><table c
│ │ │ -0007aa00: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0007aa10: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0007aa20: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0007aa30: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0007aa40: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0007aa50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007aa60: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0007aa70: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0007aa80: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007aa90: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0007aaa0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0007aab0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0007aac0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0007aad0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007aae0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007aaf0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -0007ab00: 6e74 7064 6174 650a 0a63 6c61 7373 2072  ntpdate..class r
│ │ │ -0007ab10: 656d 6f76 655f 6e74 7064 6174 6520 7b0a  emove_ntpdate {.
│ │ │ -0007ab20: 2020 7061 636b 6167 6520 7b20 276e 7470    package { 'ntp
│ │ │ -0007ab30: 6461 7465 273a 0a20 2020 2065 6e73 7572  date':.    ensur
│ │ │ -0007ab40: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ -0007ab50: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -0007ab60: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0007ab70: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0007ab80: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0007ab90: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0007aba0: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ -0007abb0: 3635 3622 2074 6162 696e 6465 783d 2230  656" tabindex="0
│ │ │ -0007abc0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0007abd0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0007abe0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0007abf0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0007ac00: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007ac10: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -0007ac20: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0007ac30: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0007ac40: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0007ac50: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ -0007ac60: 3635 3622 3e3c 7461 626c 6520 636c 6173  656"><table clas
│ │ │ -0007ac70: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0007ac80: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0007ac90: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0007aca0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0007acb0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0007acc0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007acd0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0007ace0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0007acf0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ad00: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0007ad10: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0007ad20: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0007ad30: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -0007ad40: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0007ad50: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -0007ad60: 6e61 6d65 3a20 456e 7375 7265 206e 7470  name: Ensure ntp
│ │ │ -0007ad70: 6461 7465 2069 7320 7265 6d6f 7665 640a  date is removed.
│ │ │ -0007ad80: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -0007ad90: 616d 653a 206e 7470 6461 7465 0a20 2020  ame: ntpdate.   
│ │ │ -0007ada0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -0007adb0: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -0007adc0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -0007add0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0007ade0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0007adf0: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -0007ae00: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0007ae10: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0007ae20: 6167 655f 6e74 7064 6174 655f 7265 6d6f  age_ntpdate_remo
│ │ │ -0007ae30: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ -0007ae40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0007ae50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0007ae60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0007ae70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0007ae80: 7267 6574 3d22 2369 646d 3139 3635 3722  rget="#idm19657"
│ │ │ -0007ae90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0007aea0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0007aeb0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0007aec0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0007aed0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0007aee0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0007aef0: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ -0007af00: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0007af10: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0007af20: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0007af30: 6964 3d22 6964 6d31 3936 3537 223e 3c74  id="idm19657"><t
│ │ │ -0007af40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007af50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007af60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007af70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007af80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007af90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007afa0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007afb0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007afc0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007afd0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007afe0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007aff0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007b000: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007b010: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -0007b020: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0007b030: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ -0007b040: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ -0007b050: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ -0007b060: 7265 6d6f 7665 206e 7470 6461 7465 0a23  remove ntpdate.#
│ │ │ -0007b070: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -0007b080: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -0007b090: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -0007b0a0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -0007b0b0: 6420 6f6e 206e 7470 6461 7465 2e20 4578  d on ntpdate. Ex
│ │ │ -0007b0c0: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ -0007b0d0: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ -0007b0e0: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ -0007b0f0: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ -0007b100: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ -0007b110: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -0007b120: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -0007b130: 6574 2072 656d 6f76 6520 2d79 2022 6e74  et remove -y "nt
│ │ │ -0007b140: 7064 6174 6522 0a3c 2f63 6f64 653e 3c2f  pdate".</code></
│ │ │ +0007a9a0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0007a9b0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0007a9c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0007a9d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0007a9e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0007a9f0: 646d 3139 3635 3522 3e3c 7461 626c 6520  dm19655"><table 
│ │ │ +0007aa00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0007aa10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0007aa20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0007aa30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0007aa40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0007aa50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007aa60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0007aa70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0007aa80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007aa90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0007aaa0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0007aab0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0007aac0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0007aad0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0007aae0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0007aaf0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +0007ab00: 206e 7470 6461 7465 2069 7320 7265 6d6f   ntpdate is remo
│ │ │ +0007ab10: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +0007ab20: 2020 206e 616d 653a 206e 7470 6461 7465     name: ntpdate
│ │ │ +0007ab30: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +0007ab40: 6e74 0a20 2074 6167 733a 0a20 202d 2064  nt.  tags:.  - d
│ │ │ +0007ab50: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0007ab60: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0007ab70: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0007ab80: 7074 696f 6e0a 2020 2d20 6c6f 775f 7365  ption.  - low_se
│ │ │ +0007ab90: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0007aba0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0007abb0: 7061 636b 6167 655f 6e74 7064 6174 655f  package_ntpdate_
│ │ │ +0007abc0: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0007abd0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0007abe0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0007abf0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0007ac00: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0007ac10: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +0007ac20: 3635 3622 2074 6162 696e 6465 783d 2230  656" tabindex="0
│ │ │ +0007ac30: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0007ac40: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0007ac50: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0007ac60: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0007ac70: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0007ac80: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +0007ac90: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +0007aca0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0007acb0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0007acc0: 7365 2220 6964 3d22 6964 6d31 3936 3536  se" id="idm19656
│ │ │ +0007acd0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0007ace0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0007acf0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0007ad00: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0007ad10: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0007ad20: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0007ad30: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007ad40: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0007ad50: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0007ad60: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0007ad70: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0007ad80: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0007ad90: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0007ada0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +0007adb0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0007adc0: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ +0007add0: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ +0007ade0: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ +0007adf0: 696c 6c20 7265 6d6f 7665 206e 7470 6461  ill remove ntpda
│ │ │ +0007ae00: 7465 0a23 0920 2020 6672 6f6d 2074 6865  te.#.   from the
│ │ │ +0007ae10: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +0007ae20: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +0007ae30: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +0007ae40: 6570 656e 6420 6f6e 206e 7470 6461 7465  epend on ntpdate
│ │ │ +0007ae50: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +0007ae60: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +0007ae70: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +0007ae80: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +0007ae90: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +0007aea0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +0007aeb0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +0007aec0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +0007aed0: 2022 6e74 7064 6174 6522 0a3c 2f63 6f64   "ntpdate".</cod
│ │ │ +0007aee0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0007aef0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0007af00: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0007af10: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0007af20: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0007af30: 6d31 3936 3537 2220 7461 6269 6e64 6578  m19657" tabindex
│ │ │ +0007af40: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0007af50: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0007af60: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0007af70: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0007af80: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0007af90: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +0007afa0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0007afb0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0007afc0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0007afd0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0007afe0: 3139 3635 3722 3e3c 7461 626c 6520 636c  19657"><table cl
│ │ │ +0007aff0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0007b000: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0007b010: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0007b020: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0007b030: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0007b040: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007b050: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0007b060: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0007b070: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007b080: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0007b090: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0007b0a0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0007b0b0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +0007b0c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0007b0d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0007b0e0: 696e 636c 7564 6520 7265 6d6f 7665 5f6e  include remove_n
│ │ │ +0007b0f0: 7470 6461 7465 0a0a 636c 6173 7320 7265  tpdate..class re
│ │ │ +0007b100: 6d6f 7665 5f6e 7470 6461 7465 207b 0a20  move_ntpdate {. 
│ │ │ +0007b110: 2070 6163 6b61 6765 207b 2027 6e74 7064   package { 'ntpd
│ │ │ +0007b120: 6174 6527 3a0a 2020 2020 656e 7375 7265  ate':.    ensure
│ │ │ +0007b130: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +0007b140: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  0007b150: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  0007b160: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  0007b170: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  0007b180: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  0007b190: 6964 3d22 7863 6364 665f 6f72 672e 7373  id="xccdf_org.ss
│ │ │  0007b1a0: 6770 726f 6a65 6374 2e63 6f6e 7465 6e74  gproject.content
│ │ │  0007b1b0: 5f72 756c 655f 7061 636b 6167 655f 7465  _rule_package_te
│ │ │ @@ -31722,143 +31722,143 @@
│ │ │  0007be90: 2d74 6172 6765 743d 2223 6964 6d31 3937  -target="#idm197
│ │ │  0007bea0: 3536 2220 7461 6269 6e64 6578 3d22 3022  56" tabindex="0"
│ │ │  0007beb0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0007bec0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0007bed0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0007bee0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0007bef0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0007bf00: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0007bf10: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007bf20: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007bf30: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007bf40: 7073 6522 2069 643d 2269 646d 3139 3735  pse" id="idm1975
│ │ │ -0007bf50: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0007bf60: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007bf70: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007bf80: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007bf90: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007bfa0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007bfb0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007bfc0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007bfd0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007bfe0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007bff0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007c000: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007c010: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007c020: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0007c030: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0007c040: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0007c050: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -0007c060: 7464 2d73 736c 0a0a 636c 6173 7320 7265  td-ssl..class re
│ │ │ -0007c070: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ -0007c080: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -0007c090: 7465 6c6e 6574 642d 7373 6c27 3a0a 2020  telnetd-ssl':.  
│ │ │ -0007c0a0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -0007c0b0: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -0007c0c0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0007c0d0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0007c0e0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0007c0f0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0007c100: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0007c110: 2223 6964 6d31 3937 3537 2220 7461 6269  "#idm19757" tabi
│ │ │ -0007c120: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007c130: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007c140: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007c150: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007c160: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007c170: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0007c180: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0007c190: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007c1a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007c1b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007c1c0: 3d22 6964 6d31 3937 3537 223e 3c74 6162  ="idm19757"><tab
│ │ │ -0007c1d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007c1e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007c1f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007c200: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007c210: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007c220: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007c230: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007c240: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007c250: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007c260: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007c270: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007c280: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007c290: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007c2a0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -0007c2b0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -0007c2c0: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -0007c2d0: 7572 6520 7465 6c6e 6574 642d 7373 6c20  ure telnetd-ssl 
│ │ │ -0007c2e0: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -0007c2f0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0007c300: 7465 6c6e 6574 642d 7373 6c0a 2020 2020  telnetd-ssl.    
│ │ │ -0007c310: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -0007c320: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -0007c330: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -0007c340: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0007c350: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -0007c360: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -0007c370: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -0007c380: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ -0007c390: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ -0007c3a0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0007c3b0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -0007c3c0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0007c3d0: 2020 2d20 7061 636b 6167 655f 7465 6c6e    - package_teln
│ │ │ -0007c3e0: 6574 642d 7373 6c5f 7265 6d6f 7665 640a  etd-ssl_removed.
│ │ │ -0007c3f0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0007c400: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0007c410: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0007c420: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0007c430: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0007c440: 3d22 2369 646d 3139 3735 3822 2074 6162  ="#idm19758" tab
│ │ │ -0007c450: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0007c460: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0007c470: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0007c480: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0007c490: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0007c4a0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -0007c4b0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -0007c4c0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0007c4d0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0007c4e0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0007c4f0: 6964 6d31 3937 3538 223e 3c74 6162 6c65  idm19758"><table
│ │ │ -0007c500: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0007c510: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0007c520: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0007c530: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0007c540: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0007c550: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007c560: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0007c570: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0007c580: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007c590: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0007c5a0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0007c5b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0007c5c0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -0007c5d0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -0007c5e0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0007c5f0: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ -0007c600: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ -0007c610: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ -0007c620: 7665 2074 656c 6e65 7464 2d73 736c 0a23  ve telnetd-ssl.#
│ │ │ -0007c630: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -0007c640: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -0007c650: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -0007c660: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -0007c670: 6420 6f6e 2074 656c 6e65 7464 2d73 736c  d on telnetd-ssl
│ │ │ -0007c680: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -0007c690: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -0007c6a0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -0007c6b0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -0007c6c0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -0007c6d0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -0007c6e0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -0007c6f0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -0007c700: 2022 7465 6c6e 6574 642d 7373 6c22 0a3c   "telnetd-ssl".<
│ │ │ +0007bf00: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0007bf10: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007bf20: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007bf30: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007bf40: 6170 7365 2220 6964 3d22 6964 6d31 3937  apse" id="idm197
│ │ │ +0007bf50: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +0007bf60: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007bf70: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007bf80: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007bf90: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007bfa0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007bfb0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007bfc0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007bfd0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007bfe0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007bff0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007c000: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007c010: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007c020: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007c030: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007c040: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0007c050: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +0007c060: 6574 642d 7373 6c20 6973 2072 656d 6f76  etd-ssl is remov
│ │ │ +0007c070: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +0007c080: 2020 6e61 6d65 3a20 7465 6c6e 6574 642d    name: telnetd-
│ │ │ +0007c090: 7373 6c0a 2020 2020 7374 6174 653a 2061  ssl.    state: a
│ │ │ +0007c0a0: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ +0007c0b0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0007c0c0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ +0007c0d0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ +0007c0e0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0007c0f0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ +0007c100: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ +0007c110: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ +0007c120: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0007c130: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0007c140: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ +0007c150: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +0007c160: 6167 655f 7465 6c6e 6574 642d 7373 6c5f  age_telnetd-ssl_
│ │ │ +0007c170: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0007c180: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0007c190: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0007c1a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0007c1b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0007c1c0: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +0007c1d0: 3735 3722 2074 6162 696e 6465 783d 2230  757" tabindex="0
│ │ │ +0007c1e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0007c1f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0007c200: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0007c210: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0007c220: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0007c230: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +0007c240: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +0007c250: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0007c260: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0007c270: 7365 2220 6964 3d22 6964 6d31 3937 3537  se" id="idm19757
│ │ │ +0007c280: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0007c290: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0007c2a0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0007c2b0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0007c2c0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0007c2d0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0007c2e0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007c2f0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0007c300: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0007c310: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0007c320: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0007c330: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0007c340: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0007c350: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +0007c360: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0007c370: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ +0007c380: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ +0007c390: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ +0007c3a0: 696c 6c20 7265 6d6f 7665 2074 656c 6e65  ill remove telne
│ │ │ +0007c3b0: 7464 2d73 736c 0a23 0920 2020 6672 6f6d  td-ssl.#.   from
│ │ │ +0007c3c0: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +0007c3d0: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +0007c3e0: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +0007c3f0: 6174 2064 6570 656e 6420 6f6e 2074 656c  at depend on tel
│ │ │ +0007c400: 6e65 7464 2d73 736c 2e20 4578 6563 7574  netd-ssl. Execut
│ │ │ +0007c410: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ +0007c420: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ +0007c430: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ +0007c440: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ +0007c450: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ +0007c460: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +0007c470: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ +0007c480: 656d 6f76 6520 2d79 2022 7465 6c6e 6574  emove -y "telnet
│ │ │ +0007c490: 642d 7373 6c22 0a3c 2f63 6f64 653e 3c2f  d-ssl".</code></
│ │ │ +0007c4a0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0007c4b0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0007c4c0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0007c4d0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0007c4e0: 2d74 6172 6765 743d 2223 6964 6d31 3937  -target="#idm197
│ │ │ +0007c4f0: 3538 2220 7461 6269 6e64 6578 3d22 3022  58" tabindex="0"
│ │ │ +0007c500: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0007c510: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0007c520: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0007c530: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0007c540: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0007c550: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +0007c560: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0007c570: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0007c580: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0007c590: 7073 6522 2069 643d 2269 646d 3139 3735  pse" id="idm1975
│ │ │ +0007c5a0: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +0007c5b0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0007c5c0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0007c5d0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0007c5e0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0007c5f0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0007c600: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007c610: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0007c620: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007c630: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0007c640: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0007c650: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0007c660: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0007c670: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0007c680: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0007c690: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +0007c6a0: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ +0007c6b0: 7464 2d73 736c 0a0a 636c 6173 7320 7265  td-ssl..class re
│ │ │ +0007c6c0: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ +0007c6d0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0007c6e0: 7465 6c6e 6574 642d 7373 6c27 3a0a 2020  telnetd-ssl':.  
│ │ │ +0007c6f0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +0007c700: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  0007c710: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0007c720: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0007c730: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0007c740: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0007c750: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  0007c760: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0007c770: 2e63 6f6e 7465 6e74 5f72 756c 655f 7061  .content_rule_pa
│ │ │ @@ -32070,141 +32070,141 @@
│ │ │  0007d450: 2d74 6172 6765 743d 2223 6964 6d31 3938  -target="#idm198
│ │ │  0007d460: 3536 2220 7461 6269 6e64 6578 3d22 3022  56" tabindex="0"
│ │ │  0007d470: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0007d480: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0007d490: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0007d4a0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0007d4b0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0007d4c0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0007d4d0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007d4e0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007d4f0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007d500: 7073 6522 2069 643d 2269 646d 3139 3835  pse" id="idm1985
│ │ │ -0007d510: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0007d520: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007d530: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007d540: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007d550: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007d560: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007d570: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007d580: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007d590: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007d5a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007d5b0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007d5c0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007d5d0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007d5e0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0007d5f0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0007d600: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0007d610: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -0007d620: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ -0007d630: 5f74 656c 6e65 7464 207b 0a20 2070 6163  _telnetd {.  pac
│ │ │ -0007d640: 6b61 6765 207b 2027 7465 6c6e 6574 6427  kage { 'telnetd'
│ │ │ -0007d650: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0007d660: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -0007d670: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0007d680: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0007d690: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0007d6a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0007d6b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0007d6c0: 6765 743d 2223 6964 6d31 3938 3537 2220  get="#idm19857" 
│ │ │ -0007d6d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0007d6e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0007d6f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0007d700: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0007d710: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0007d720: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0007d730: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0007d740: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0007d750: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0007d760: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0007d770: 2220 6964 3d22 6964 6d31 3938 3537 223e  " id="idm19857">
│ │ │ -0007d780: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007d790: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007d7a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007d7b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007d7c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007d7d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007d7e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007d7f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007d800: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007d810: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007d820: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007d830: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007d840: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007d850: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0007d860: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0007d870: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0007d880: 2045 6e73 7572 6520 7465 6c6e 6574 6420   Ensure telnetd 
│ │ │ -0007d890: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -0007d8a0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0007d8b0: 7465 6c6e 6574 640a 2020 2020 7374 6174  telnetd.    stat
│ │ │ -0007d8c0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -0007d8d0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0007d8e0: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0007d8f0: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -0007d900: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0007d910: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ -0007d920: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -0007d930: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ -0007d940: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0007d950: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0007d960: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ -0007d970: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -0007d980: 7061 636b 6167 655f 7465 6c6e 6574 645f  package_telnetd_
│ │ │ -0007d990: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -0007d9a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0007d9b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0007d9c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0007d9d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0007d9e0: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ -0007d9f0: 3835 3822 2074 6162 696e 6465 783d 2230  858" tabindex="0
│ │ │ -0007da00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0007da10: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0007da20: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0007da30: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0007da40: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007da50: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0007da60: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0007da70: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0007da80: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0007da90: 7365 2220 6964 3d22 6964 6d31 3938 3538  se" id="idm19858
│ │ │ -0007daa0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0007dab0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0007dac0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0007dad0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0007dae0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0007daf0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0007db00: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007db10: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0007db20: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0007db30: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0007db40: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0007db50: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0007db60: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0007db70: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0007db80: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0007db90: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -0007dba0: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -0007dbb0: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -0007dbc0: 696c 6c20 7265 6d6f 7665 2074 656c 6e65  ill remove telne
│ │ │ -0007dbd0: 7464 0a23 0920 2020 6672 6f6d 2074 6865  td.#.   from the
│ │ │ -0007dbe0: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -0007dbf0: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -0007dc00: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -0007dc10: 6570 656e 6420 6f6e 2074 656c 6e65 7464  epend on telnetd
│ │ │ -0007dc20: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -0007dc30: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -0007dc40: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -0007dc50: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -0007dc60: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -0007dc70: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -0007dc80: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -0007dc90: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -0007dca0: 2022 7465 6c6e 6574 6422 0a3c 2f63 6f64   "telnetd".</cod
│ │ │ +0007d4c0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0007d4d0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007d4e0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007d4f0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007d500: 6170 7365 2220 6964 3d22 6964 6d31 3938  apse" id="idm198
│ │ │ +0007d510: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +0007d520: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007d530: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007d540: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007d550: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007d560: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007d570: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007d580: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007d590: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007d5a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007d5b0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007d5c0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007d5d0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007d5e0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007d5f0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007d600: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0007d610: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +0007d620: 6574 6420 6973 2072 656d 6f76 6564 0a20  etd is removed. 
│ │ │ +0007d630: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0007d640: 6d65 3a20 7465 6c6e 6574 640a 2020 2020  me: telnetd.    
│ │ │ +0007d650: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +0007d660: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0007d670: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0007d680: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0007d690: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +0007d6a0: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +0007d6b0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +0007d6c0: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +0007d6d0: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +0007d6e0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0007d6f0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +0007d700: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0007d710: 2020 2d20 7061 636b 6167 655f 7465 6c6e    - package_teln
│ │ │ +0007d720: 6574 645f 7265 6d6f 7665 640a 3c2f 636f  etd_removed.</co
│ │ │ +0007d730: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0007d740: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0007d750: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0007d760: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0007d770: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0007d780: 646d 3139 3835 3722 2074 6162 696e 6465  dm19857" tabinde
│ │ │ +0007d790: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0007d7a0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0007d7b0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0007d7c0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0007d7d0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0007d7e0: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ +0007d7f0: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ +0007d800: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0007d810: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0007d820: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0007d830: 3938 3537 223e 3c74 6162 6c65 2063 6c61  9857"><table cla
│ │ │ +0007d840: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007d850: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007d860: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007d870: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007d880: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007d890: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007d8a0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007d8b0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007d8c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007d8d0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007d8e0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007d8f0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007d900: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0007d910: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0007d920: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ +0007d930: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ +0007d940: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ +0007d950: 7074 2077 696c 6c20 7265 6d6f 7665 2074  pt will remove t
│ │ │ +0007d960: 656c 6e65 7464 0a23 0920 2020 6672 6f6d  elnetd.#.   from
│ │ │ +0007d970: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +0007d980: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +0007d990: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +0007d9a0: 6174 2064 6570 656e 6420 6f6e 2074 656c  at depend on tel
│ │ │ +0007d9b0: 6e65 7464 2e20 4578 6563 7574 6520 7468  netd. Execute th
│ │ │ +0007d9c0: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ +0007d9d0: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ +0007d9e0: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ +0007d9f0: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ +0007da00: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ +0007da10: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +0007da20: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ +0007da30: 6520 2d79 2022 7465 6c6e 6574 6422 0a3c  e -y "telnetd".<
│ │ │ +0007da40: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0007da50: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0007da60: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0007da70: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0007da80: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0007da90: 2223 6964 6d31 3938 3538 2220 7461 6269  "#idm19858" tabi
│ │ │ +0007daa0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0007dab0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0007dac0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0007dad0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0007dae0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0007daf0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0007db00: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0007db10: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0007db20: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0007db30: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0007db40: 2269 646d 3139 3835 3822 3e3c 7461 626c  "idm19858"><tabl
│ │ │ +0007db50: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0007db60: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0007db70: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0007db80: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0007db90: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0007dba0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0007dbb0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0007dbc0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0007dbd0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007dbe0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0007dbf0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0007dc00: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0007dc10: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0007dc20: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +0007dc30: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0007dc40: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +0007dc50: 7665 5f74 656c 6e65 7464 0a0a 636c 6173  ve_telnetd..clas
│ │ │ +0007dc60: 7320 7265 6d6f 7665 5f74 656c 6e65 7464  s remove_telnetd
│ │ │ +0007dc70: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0007dc80: 7465 6c6e 6574 6427 3a0a 2020 2020 656e  telnetd':.    en
│ │ │ +0007dc90: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +0007dca0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  0007dcb0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  0007dcc0: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  0007dcd0: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  0007dce0: 7464 3e3c 2f74 723e 3c74 7220 6461 7461  td></tr><tr data
│ │ │  0007dcf0: 2d74 742d 6964 3d22 6368 696c 6472 656e  -tt-id="children
│ │ │  0007dd00: 2d78 6363 6466 5f6f 7267 2e73 7367 7072  -xccdf_org.ssgpr
│ │ │  0007dd10: 6f6a 6563 742e 636f 6e74 656e 745f 6772  oject.content_gr
│ │ │ @@ -32652,179 +32652,179 @@
│ │ │  0007f8b0: 6765 743d 2223 6964 6d32 3035 3139 2220  get="#idm20519" 
│ │ │  0007f8c0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0007f8d0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  0007f8e0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  0007f8f0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  0007f900: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  0007f910: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0007f920: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -0007f930: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -0007f940: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0007f950: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0007f960: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0007f970: 6964 6d32 3035 3139 223e 3c70 7265 3e3c  idm20519"><pre><
│ │ │ -0007f980: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -0007f990: 5d5d 0a6e 616d 6520 3d20 226e 7470 220a  ]].name = "ntp".
│ │ │ -0007f9a0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ -0007f9b0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0007f9c0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0007f9d0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0007f9e0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0007f9f0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0007fa00: 2369 646d 3230 3532 3022 2074 6162 696e  #idm20520" tabin
│ │ │ -0007fa10: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0007fa20: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0007fa30: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0007fa40: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0007fa50: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0007fa60: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -0007fa70: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -0007fa80: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0007fa90: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0007faa0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0007fab0: 6964 6d32 3035 3230 223e 3c74 6162 6c65  idm20520"><table
│ │ │ -0007fac0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0007fad0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0007fae0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0007faf0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0007fb00: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0007fb10: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007fb20: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0007fb30: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0007fb40: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007fb50: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0007fb60: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0007fb70: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0007fb80: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0007fb90: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0007fba0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0007fbb0: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ -0007fbc0: 6c5f 6e74 700a 0a63 6c61 7373 2069 6e73  l_ntp..class ins
│ │ │ -0007fbd0: 7461 6c6c 5f6e 7470 207b 0a20 2070 6163  tall_ntp {.  pac
│ │ │ -0007fbe0: 6b61 6765 207b 2027 6e74 7027 3a0a 2020  kage { 'ntp':.  
│ │ │ -0007fbf0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -0007fc00: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -0007fc10: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -0007fc20: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0007fc30: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0007fc40: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0007fc50: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0007fc60: 6574 3d22 2369 646d 3230 3532 3122 2074  et="#idm20521" t
│ │ │ -0007fc70: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007fc80: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007fc90: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007fca0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007fcb0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007fcc0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007fcd0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0007fce0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0007fcf0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0007fd00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0007fd10: 2069 643d 2269 646d 3230 3532 3122 3e3c   id="idm20521"><
│ │ │ -0007fd20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0007fd30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0007fd40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0007fd50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0007fd60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0007fd70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0007fd80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007fd90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0007fda0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007fdb0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0007fdc0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0007fdd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007fde0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0007fdf0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0007fe00: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0007fe10: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0007fe20: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0007fe30: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0007fe40: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0007fe50: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0007fe60: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0007fe70: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -0007fe80: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ -0007fe90: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -0007fea0: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -0007feb0: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -0007fec0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0007fed0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0007fee0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0007fef0: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ -0007ff00: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -0007ff10: 6d65 3a20 456e 7375 7265 206e 7470 2069  me: Ensure ntp i
│ │ │ -0007ff20: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -0007ff30: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -0007ff40: 206e 7470 0a20 2020 2073 7461 7465 3a20   ntp.    state: 
│ │ │ -0007ff50: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -0007ff60: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -0007ff70: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -0007ff80: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -0007ff90: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0007ffa0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -0007ffb0: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ -0007ffc0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -0007ffd0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -0007ffe0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -0007fff0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00080000: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -00080010: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00080020: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ -00080030: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ -00080040: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00080050: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00080060: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00080070: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00080080: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00080090: 3035 3232 2220 7461 6269 6e64 6578 3d22  0522" tabindex="
│ │ │ -000800a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -000800b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -000800c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -000800d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -000800e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -000800f0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00080100: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00080110: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00080120: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00080130: 7073 6522 2069 643d 2269 646d 3230 3532  pse" id="idm2052
│ │ │ -00080140: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ -00080150: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00080160: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00080170: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00080180: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00080190: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -000801a0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000801b0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -000801c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000801d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -000801e0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -000801f0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00080200: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00080210: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00080220: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00080230: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ -00080240: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ -00080250: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ -00080260: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ -00080270: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ -00080280: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ -00080290: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ -000802a0: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ -000802b0: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ -000802c0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -000802d0: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ -000802e0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -000802f0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -00080300: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ -00080310: 202d 7920 226e 7470 220a 0a65 6c73 650a   -y "ntp"..else.
│ │ │ -00080320: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -00080330: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -00080340: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -00080350: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -00080360: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +0007f920: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +0007f930: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007f940: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007f950: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007f960: 2220 6964 3d22 6964 6d32 3035 3139 223e  " id="idm20519">
│ │ │ +0007f970: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0007f980: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0007f990: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0007f9a0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0007f9b0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0007f9c0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0007f9d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007f9e0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0007f9f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007fa00: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0007fa10: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0007fa20: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0007fa30: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0007fa40: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0007fa50: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0007fa60: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +0007fa70: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +0007fa80: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +0007fa90: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +0007faa0: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +0007fab0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +0007fac0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +0007fad0: 5043 492d 4453 532d 5265 712d 3130 2e34  PCI-DSS-Req-10.4
│ │ │ +0007fae0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +0007faf0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +0007fb00: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +0007fb10: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0007fb20: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0007fb30: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +0007fb40: 640a 2020 2d20 7061 636b 6167 655f 6e74  d.  - package_nt
│ │ │ +0007fb50: 705f 696e 7374 616c 6c65 640a 0a2d 206e  p_installed..- n
│ │ │ +0007fb60: 616d 653a 2045 6e73 7572 6520 6e74 7020  ame: Ensure ntp 
│ │ │ +0007fb70: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +0007fb80: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +0007fb90: 3a20 6e74 700a 2020 2020 7374 6174 653a  : ntp.    state:
│ │ │ +0007fba0: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ +0007fbb0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +0007fbc0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +0007fbd0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +0007fbe0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0007fbf0: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +0007fc00: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ +0007fc10: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +0007fc20: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +0007fc30: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +0007fc40: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0007fc50: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +0007fc60: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0007fc70: 2020 2d20 7061 636b 6167 655f 6e74 705f    - package_ntp_
│ │ │ +0007fc80: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +0007fc90: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007fca0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007fcb0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007fcc0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007fcd0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007fce0: 3230 3532 3022 2074 6162 696e 6465 783d  20520" tabindex=
│ │ │ +0007fcf0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007fd00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007fd10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007fd20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007fd30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007fd40: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ +0007fd50: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ +0007fd60: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007fd70: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007fd80: 6170 7365 2220 6964 3d22 6964 6d32 3035  apse" id="idm205
│ │ │ +0007fd90: 3230 223e 3c74 6162 6c65 2063 6c61 7373  20"><table class
│ │ │ +0007fda0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007fdb0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007fdc0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007fdd0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007fde0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007fdf0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007fe00: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007fe10: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007fe20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007fe30: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007fe40: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007fe50: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007fe60: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +0007fe70: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0007fe80: 3e3c 7072 653e 3c63 6f64 653e 2320 5265  ><pre><code># Re
│ │ │ +0007fe90: 6d65 6469 6174 696f 6e20 6973 2061 7070  mediation is app
│ │ │ +0007fea0: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20  licable only in 
│ │ │ +0007feb0: 6365 7274 6169 6e20 706c 6174 666f 726d  certain platform
│ │ │ +0007fec0: 730a 6966 2064 706b 672d 7175 6572 7920  s.if dpkg-query 
│ │ │ +0007fed0: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72  --show --showfor
│ │ │ +0007fee0: 6d61 743d 2724 7b64 623a 5374 6174 7573  mat='${db:Status
│ │ │ +0007fef0: 2d53 7461 7475 737d 0a27 2027 6c69 6e75  -Status}.' 'linu
│ │ │ +0007ff00: 782d 6261 7365 2720 3226 6774 3b2f 6465  x-base' 2&gt;/de
│ │ │ +0007ff10: 762f 6e75 6c6c 207c 2067 7265 7020 2d71  v/null | grep -q
│ │ │ +0007ff20: 205e 696e 7374 616c 6c65 643b 2074 6865   ^installed; the
│ │ │ +0007ff30: 6e0a 0a44 4542 4941 4e5f 4652 4f4e 5445  n..DEBIAN_FRONTE
│ │ │ +0007ff40: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ +0007ff50: 6520 6170 742d 6765 7420 696e 7374 616c  e apt-get instal
│ │ │ +0007ff60: 6c20 2d79 2022 6e74 7022 0a0a 656c 7365  l -y "ntp"..else
│ │ │ +0007ff70: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +0007ff80: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +0007ff90: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +0007ffa0: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +0007ffb0: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +0007ffc0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007ffd0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007ffe0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007fff0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00080000: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00080010: 3230 3532 3122 2074 6162 696e 6465 783d  20521" tabindex=
│ │ │ +00080020: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00080030: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00080040: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00080050: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00080060: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00080070: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +00080080: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +00080090: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000800a0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000800b0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000800c0: 6522 2069 643d 2269 646d 3230 3532 3122  e" id="idm20521"
│ │ │ +000800d0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +000800e0: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +000800f0: 2022 6e74 7022 0a76 6572 7369 6f6e 203d   "ntp".version =
│ │ │ +00080100: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │ +00080110: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00080120: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00080130: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00080140: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00080150: 6172 6765 743d 2223 6964 6d32 3035 3232  arget="#idm20522
│ │ │ +00080160: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00080170: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00080180: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00080190: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +000801a0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +000801b0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000801c0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +000801d0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000801e0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000801f0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00080200: 6522 2069 643d 2269 646d 3230 3532 3222  e" id="idm20522"
│ │ │ +00080210: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00080220: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00080230: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00080240: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00080250: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00080260: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00080270: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00080280: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00080290: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000802a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000802b0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +000802c0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +000802d0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +000802e0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +000802f0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00080300: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00080310: 2069 6e73 7461 6c6c 5f6e 7470 0a0a 636c   install_ntp..cl
│ │ │ +00080320: 6173 7320 696e 7374 616c 6c5f 6e74 7020  ass install_ntp 
│ │ │ +00080330: 7b0a 2020 7061 636b 6167 6520 7b20 276e  {.  package { 'n
│ │ │ +00080340: 7470 273a 0a20 2020 2065 6e73 7572 6520  tp':.    ensure 
│ │ │ +00080350: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +00080360: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00080370: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00080380: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00080390: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  000803a0: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  000803b0: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  000803c0: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  000803d0: 6e74 5f72 756c 655f 7365 7276 6963 655f  nt_rule_service_
│ │ │ @@ -33052,157 +33052,157 @@
│ │ │  000811b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000811c0: 6d32 3036 3631 2220 7461 6269 6e64 6578  m20661" tabindex
│ │ │  000811d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  000811e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  000811f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00081200: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00081210: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00081220: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ -00081230: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ -00081240: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00081250: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00081260: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00081270: 7365 2220 6964 3d22 6964 6d32 3036 3631  se" id="idm20661
│ │ │ -00081280: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -00081290: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -000812a0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -000812b0: 3d20 5b22 6e74 7022 5d0a 3c2f 636f 6465  = ["ntp"].</code
│ │ │ -000812c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -000812d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000812e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000812f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00081300: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00081310: 3230 3636 3222 2074 6162 696e 6465 783d  20662" tabindex=
│ │ │ -00081320: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00081330: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00081340: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00081350: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00081360: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00081370: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00081380: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00081390: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -000813a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -000813b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -000813c0: 3036 3632 223e 3c74 6162 6c65 2063 6c61  0662"><table cla
│ │ │ -000813d0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000813e0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000813f0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00081400: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00081410: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00081420: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00081430: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00081440: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00081450: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00081460: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00081470: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00081480: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00081490: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -000814a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000814b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000814c0: 636c 7564 6520 656e 6162 6c65 5f6e 7470  clude enable_ntp
│ │ │ -000814d0: 0a0a 636c 6173 7320 656e 6162 6c65 5f6e  ..class enable_n
│ │ │ -000814e0: 7470 207b 0a20 2073 6572 7669 6365 207b  tp {.  service {
│ │ │ -000814f0: 276e 7470 273a 0a20 2020 2065 6e61 626c  'ntp':.    enabl
│ │ │ -00081500: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ -00081510: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00081520: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ -00081530: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00081540: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00081550: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00081560: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00081570: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00081580: 3d22 2369 646d 3230 3636 3322 2074 6162  ="#idm20663" tab
│ │ │ -00081590: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000815a0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000815b0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000815c0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000815d0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000815e0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -000815f0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00081600: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00081610: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00081620: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00081630: 643d 2269 646d 3230 3636 3322 3e3c 7461  d="idm20663"><ta
│ │ │ -00081640: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00081650: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00081660: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00081670: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00081680: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00081690: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000816a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000816b0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000816c0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000816d0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000816e0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000816f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00081700: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00081710: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00081720: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00081730: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -00081740: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00081750: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00081760: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00081770: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -00081780: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00081790: 2d41 552d 3828 3129 2861 290a 2020 2d20  -AU-8(1)(a).  - 
│ │ │ -000817a0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000817b0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ -000817c0: 5265 712d 3130 2e34 0a20 202d 2050 4349  Req-10.4.  - PCI
│ │ │ -000817d0: 2d44 5353 7634 2d31 302e 360a 2020 2d20  -DSSv4-10.6.  - 
│ │ │ -000817e0: 5043 492d 4453 5376 342d 3130 2e36 2e31  PCI-DSSv4-10.6.1
│ │ │ -000817f0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -00081800: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -00081810: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -00081820: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00081830: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00081840: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00081850: 640a 2020 2d20 7365 7276 6963 655f 6e74  d.  - service_nt
│ │ │ -00081860: 705f 656e 6162 6c65 640a 0a2d 206e 616d  p_enabled..- nam
│ │ │ -00081870: 653a 2045 6e61 626c 6520 7468 6520 4e54  e: Enable the NT
│ │ │ -00081880: 5020 4461 656d 6f6e 202d 2045 6e61 626c  P Daemon - Enabl
│ │ │ -00081890: 6520 7365 7276 6963 6520 6e74 700a 2020  e service ntp.  
│ │ │ -000818a0: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ -000818b0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000818c0: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ -000818d0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -000818e0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -000818f0: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ -00081900: 626c 6520 7468 6520 4e54 5020 4461 656d  ble the NTP Daem
│ │ │ -00081910: 6f6e 202d 2045 6e61 626c 6520 5365 7276  on - Enable Serv
│ │ │ -00081920: 6963 6520 6e74 700a 2020 2020 616e 7369  ice ntp.    ansi
│ │ │ -00081930: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ -00081940: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ -00081950: 206e 7470 0a20 2020 2020 2065 6e61 626c   ntp.      enabl
│ │ │ -00081960: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ -00081970: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ -00081980: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ -00081990: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ -000819a0: 2d20 2722 6e74 7022 2069 6e20 616e 7369  - '"ntp" in ansi
│ │ │ -000819b0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000819c0: 6573 270a 2020 7768 656e 3a0a 2020 2d20  es'.  when:.  - 
│ │ │ -000819d0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -000819e0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -000819f0: 6163 6b61 6765 7327 0a20 202d 2027 226e  ackages'.  - '"n
│ │ │ -00081a00: 7470 2220 696e 2061 6e73 6962 6c65 5f66  tp" in ansible_f
│ │ │ -00081a10: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00081a20: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00081a30: 3830 302d 3533 2d41 552d 3828 3129 2861  800-53-AU-8(1)(a
│ │ │ -00081a40: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00081a50: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -00081a60: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -00081a70: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -00081a80: 360a 2020 2d20 5043 492d 4453 5376 342d  6.  - PCI-DSSv4-
│ │ │ -00081a90: 3130 2e36 2e31 0a20 202d 2065 6e61 626c  10.6.1.  - enabl
│ │ │ -00081aa0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00081ab0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00081ac0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00081ad0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00081ae0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00081af0: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00081b00: 6963 655f 6e74 705f 656e 6162 6c65 640a  ice_ntp_enabled.
│ │ │ +00081220: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00081230: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00081240: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00081250: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00081260: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00081270: 6d32 3036 3631 223e 3c74 6162 6c65 2063  m20661"><table c
│ │ │ +00081280: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00081290: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000812a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000812b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000812c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000812d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000812e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000812f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00081300: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00081310: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00081320: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00081330: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00081340: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00081350: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00081360: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00081370: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00081380: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00081390: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +000813a0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +000813b0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +000813c0: 4e49 5354 2d38 3030 2d35 332d 4155 2d38  NIST-800-53-AU-8
│ │ │ +000813d0: 2831 2928 6129 0a20 202d 204e 4953 542d  (1)(a).  - NIST-
│ │ │ +000813e0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +000813f0: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +00081400: 302e 340a 2020 2d20 5043 492d 4453 5376  0.4.  - PCI-DSSv
│ │ │ +00081410: 342d 3130 2e36 0a20 202d 2050 4349 2d44  4-10.6.  - PCI-D
│ │ │ +00081420: 5353 7634 2d31 302e 362e 310a 2020 2d20  SSv4-10.6.1.  - 
│ │ │ +00081430: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00081440: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +00081450: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00081460: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00081470: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00081480: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00081490: 2073 6572 7669 6365 5f6e 7470 5f65 6e61   service_ntp_ena
│ │ │ +000814a0: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ +000814b0: 6162 6c65 2074 6865 204e 5450 2044 6165  able the NTP Dae
│ │ │ +000814c0: 6d6f 6e20 2d20 456e 6162 6c65 2073 6572  mon - Enable ser
│ │ │ +000814d0: 7669 6365 206e 7470 0a20 2062 6c6f 636b  vice ntp.  block
│ │ │ +000814e0: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +000814f0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00081500: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +00081510: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +00081520: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +00081530: 2d20 6e61 6d65 3a20 456e 6162 6c65 2074  - name: Enable t
│ │ │ +00081540: 6865 204e 5450 2044 6165 6d6f 6e20 2d20  he NTP Daemon - 
│ │ │ +00081550: 456e 6162 6c65 2053 6572 7669 6365 206e  Enable Service n
│ │ │ +00081560: 7470 0a20 2020 2061 6e73 6962 6c65 2e62  tp.    ansible.b
│ │ │ +00081570: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ +00081580: 2020 2020 2020 6e61 6d65 3a20 6e74 700a        name: ntp.
│ │ │ +00081590: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +000815a0: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +000815b0: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +000815c0: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +000815d0: 2077 6865 6e3a 0a20 2020 202d 2027 226e   when:.    - '"n
│ │ │ +000815e0: 7470 2220 696e 2061 6e73 6962 6c65 5f66  tp" in ansible_f
│ │ │ +000815f0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00081600: 2077 6865 6e3a 0a20 202d 2027 226c 696e   when:.  - '"lin
│ │ │ +00081610: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00081620: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00081630: 6573 270a 2020 2d20 2722 6e74 7022 2069  es'.  - '"ntp" i
│ │ │ +00081640: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00081650: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00081660: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00081670: 332d 4155 2d38 2831 2928 6129 0a20 202d  3-AU-8(1)(a).  -
│ │ │ +00081680: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00081690: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +000816a0: 2d52 6571 2d31 302e 340a 2020 2d20 5043  -Req-10.4.  - PC
│ │ │ +000816b0: 492d 4453 5376 342d 3130 2e36 0a20 202d  I-DSSv4-10.6.  -
│ │ │ +000816c0: 2050 4349 2d44 5353 7634 2d31 302e 362e   PCI-DSSv4-10.6.
│ │ │ +000816d0: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ +000816e0: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +000816f0: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00081700: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00081710: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00081720: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00081730: 6564 0a20 202d 2073 6572 7669 6365 5f6e  ed.  - service_n
│ │ │ +00081740: 7470 5f65 6e61 626c 6564 0a3c 2f63 6f64  tp_enabled.</cod
│ │ │ +00081750: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00081760: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00081770: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00081780: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00081790: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +000817a0: 6d32 3036 3632 2220 7461 6269 6e64 6578  m20662" tabindex
│ │ │ +000817b0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +000817c0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +000817d0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +000817e0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000817f0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00081800: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00081810: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00081820: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00081830: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00081840: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00081850: 7365 2220 6964 3d22 6964 6d32 3036 3632  se" id="idm20662
│ │ │ +00081860: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +00081870: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +00081880: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +00081890: 3d20 5b22 6e74 7022 5d0a 3c2f 636f 6465  = ["ntp"].</code
│ │ │ +000818a0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +000818b0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +000818c0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +000818d0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +000818e0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +000818f0: 3230 3636 3322 2074 6162 696e 6465 783d  20663" tabindex=
│ │ │ +00081900: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00081910: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00081920: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00081930: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00081940: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00081950: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00081960: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00081970: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00081980: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00081990: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +000819a0: 3036 3633 223e 3c74 6162 6c65 2063 6c61  0663"><table cla
│ │ │ +000819b0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000819c0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000819d0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000819e0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +000819f0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00081a00: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00081a10: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00081a20: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00081a30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00081a40: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00081a50: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00081a60: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00081a70: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00081a80: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00081a90: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00081aa0: 636c 7564 6520 656e 6162 6c65 5f6e 7470  clude enable_ntp
│ │ │ +00081ab0: 0a0a 636c 6173 7320 656e 6162 6c65 5f6e  ..class enable_n
│ │ │ +00081ac0: 7470 207b 0a20 2073 6572 7669 6365 207b  tp {.  service {
│ │ │ +00081ad0: 276e 7470 273a 0a20 2020 2065 6e61 626c  'ntp':.    enabl
│ │ │ +00081ae0: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +00081af0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00081b00: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │  00081b10: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00081b20: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00081b30: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00081b40: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00081b50: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  00081b60: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  00081b70: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -36794,204 +36794,204 @@
│ │ │  0008fb90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  0008fba0: 2223 6964 6d32 3436 3437 2220 7461 6269  "#idm24647" tabi
│ │ │  0008fbb0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  0008fbc0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  0008fbd0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  0008fbe0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  0008fbf0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0008fc00: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -0008fc10: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -0008fc20: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0008fc30: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0008fc40: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0008fc50: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0008fc60: 3436 3437 223e 3c70 7265 3e3c 636f 6465  4647"><pre><code
│ │ │ -0008fc70: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -0008fc80: 616d 6520 3d20 2261 7564 6974 6422 0a76  ame = "auditd".v
│ │ │ -0008fc90: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -0008fca0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0008fcb0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0008fcc0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0008fcd0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0008fce0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0008fcf0: 6964 6d32 3436 3438 2220 7461 6269 6e64  idm24648" tabind
│ │ │ -0008fd00: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0008fd10: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0008fd20: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0008fd30: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0008fd40: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0008fd50: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0008fd60: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0008fd70: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0008fd80: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0008fd90: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0008fda0: 646d 3234 3634 3822 3e3c 7461 626c 6520  dm24648"><table 
│ │ │ -0008fdb0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0008fdc0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0008fdd0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0008fde0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0008fdf0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0008fe00: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0008fe10: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0008fe20: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0008fe30: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0008fe40: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0008fe50: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0008fe60: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0008fe70: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0008fe80: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0008fe90: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0008fea0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0008feb0: 5f61 7564 6974 640a 0a63 6c61 7373 2069  _auditd..class i
│ │ │ -0008fec0: 6e73 7461 6c6c 5f61 7564 6974 6420 7b0a  nstall_auditd {.
│ │ │ -0008fed0: 2020 7061 636b 6167 6520 7b20 2761 7564    package { 'aud
│ │ │ -0008fee0: 6974 6427 3a0a 2020 2020 656e 7375 7265  itd':.    ensure
│ │ │ -0008fef0: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ -0008ff00: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -0008ff10: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0008ff20: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0008ff30: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0008ff40: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0008ff50: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0008ff60: 3234 3634 3922 2074 6162 696e 6465 783d  24649" tabindex=
│ │ │ -0008ff70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0008ff80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0008ff90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0008ffa0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0008ffb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0008ffc0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -0008ffd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0008ffe0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0008fff0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00090000: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00090010: 3234 3634 3922 3e3c 7461 626c 6520 636c  24649"><table cl
│ │ │ -00090020: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00090030: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00090040: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00090050: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00090060: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00090070: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00090080: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00090090: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000900a0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000900b0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000900c0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000900d0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000900e0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -000900f0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00090100: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00090110: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00090120: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00090130: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00090140: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00090150: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00090160: 4953 542d 3830 302d 3533 2d41 432d 3728  IST-800-53-AC-7(
│ │ │ -00090170: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00090180: 3533 2d41 552d 3132 2832 290a 2020 2d20  53-AU-12(2).  - 
│ │ │ -00090190: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -000901a0: 340a 2020 2d20 4e49 5354 2d38 3030 2d35  4.  - NIST-800-5
│ │ │ -000901b0: 332d 4155 2d32 2861 290a 2020 2d20 4e49  3-AU-2(a).  - NI
│ │ │ -000901c0: 5354 2d38 3030 2d35 332d 4155 2d37 2831  ST-800-53-AU-7(1
│ │ │ -000901d0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -000901e0: 332d 4155 2d37 2832 290a 2020 2d20 4e49  3-AU-7(2).  - NI
│ │ │ -000901f0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00090200: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -00090210: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ -00090220: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ -00090230: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ -00090240: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00090250: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00090260: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00090270: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00090280: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00090290: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -000902a0: 640a 2020 2d20 7061 636b 6167 655f 6175  d.  - package_au
│ │ │ -000902b0: 6469 745f 696e 7374 616c 6c65 640a 0a2d  dit_installed..-
│ │ │ -000902c0: 206e 616d 653a 2045 6e73 7572 6520 6175   name: Ensure au
│ │ │ -000902d0: 6469 7464 2069 7320 696e 7374 616c 6c65  ditd is installe
│ │ │ -000902e0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -000902f0: 206e 616d 653a 2061 7564 6974 640a 2020   name: auditd.  
│ │ │ -00090300: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00090310: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00090320: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00090330: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00090340: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00090350: 5354 2d38 3030 2d35 332d 4143 2d37 2861  ST-800-53-AC-7(a
│ │ │ -00090360: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090370: 332d 4155 2d31 3228 3229 0a20 202d 204e  3-AU-12(2).  - N
│ │ │ -00090380: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -00090390: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000903a0: 2d41 552d 3228 6129 0a20 202d 204e 4953  -AU-2(a).  - NIS
│ │ │ -000903b0: 542d 3830 302d 3533 2d41 552d 3728 3129  T-800-53-AU-7(1)
│ │ │ -000903c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000903d0: 2d41 552d 3728 3229 0a20 202d 204e 4953  -AU-7(2).  - NIS
│ │ │ -000903e0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -000903f0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -00090400: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -00090410: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -00090420: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -00090430: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00090440: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00090450: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00090460: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00090470: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00090480: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00090490: 0a20 202d 2070 6163 6b61 6765 5f61 7564  .  - package_aud
│ │ │ -000904a0: 6974 5f69 6e73 7461 6c6c 6564 0a3c 2f63  it_installed.</c
│ │ │ -000904b0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -000904c0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -000904d0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -000904e0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -000904f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00090500: 6964 6d32 3436 3530 2220 7461 6269 6e64  idm24650" tabind
│ │ │ -00090510: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00090520: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00090530: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00090540: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00090550: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00090560: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -00090570: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -00090580: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00090590: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000905a0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000905b0: 3234 3635 3022 3e3c 7461 626c 6520 636c  24650"><table cl
│ │ │ -000905c0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000905d0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000905e0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000905f0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00090600: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00090610: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00090620: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00090630: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00090640: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00090650: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00090660: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00090670: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00090680: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00090690: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -000906a0: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ -000906b0: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ -000906c0: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ -000906d0: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ -000906e0: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565  orms.if dpkg-que
│ │ │ -000906f0: 7279 202d 2d73 686f 7720 2d2d 7368 6f77  ry --show --show
│ │ │ -00090700: 666f 726d 6174 3d27 247b 6462 3a53 7461  format='${db:Sta
│ │ │ -00090710: 7475 732d 5374 6174 7573 7d0a 2720 276c  tus-Status}.' 'l
│ │ │ -00090720: 696e 7578 2d62 6173 6527 2032 2667 743b  inux-base' 2&gt;
│ │ │ -00090730: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570  /dev/null | grep
│ │ │ -00090740: 202d 7120 5e69 6e73 7461 6c6c 6564 3b20   -q ^installed; 
│ │ │ -00090750: 7468 656e 0a0a 4445 4249 414e 5f46 524f  then..DEBIAN_FRO
│ │ │ -00090760: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -00090770: 7469 7665 2061 7074 2d67 6574 2069 6e73  tive apt-get ins
│ │ │ -00090780: 7461 6c6c 202d 7920 2261 7564 6974 6422  tall -y "auditd"
│ │ │ -00090790: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ -000907a0: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ -000907b0: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ -000907c0: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ -000907d0: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +0008fc00: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +0008fc10: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +0008fc20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0008fc30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0008fc40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0008fc50: 3d22 6964 6d32 3436 3437 223e 3c74 6162  ="idm24647"><tab
│ │ │ +0008fc60: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0008fc70: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0008fc80: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0008fc90: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0008fca0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0008fcb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0008fcc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0008fcd0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0008fce0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0008fcf0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0008fd00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0008fd10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0008fd20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0008fd30: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0008fd40: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0008fd50: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +0008fd60: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +0008fd70: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +0008fd80: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +0008fd90: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +0008fda0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008fdb0: 4143 2d37 2861 290a 2020 2d20 4e49 5354  AC-7(a).  - NIST
│ │ │ +0008fdc0: 2d38 3030 2d35 332d 4155 2d31 3228 3229  -800-53-AU-12(2)
│ │ │ +0008fdd0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0008fde0: 2d41 552d 3134 0a20 202d 204e 4953 542d  -AU-14.  - NIST-
│ │ │ +0008fdf0: 3830 302d 3533 2d41 552d 3228 6129 0a20  800-53-AU-2(a). 
│ │ │ +0008fe00: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008fe10: 552d 3728 3129 0a20 202d 204e 4953 542d  U-7(1).  - NIST-
│ │ │ +0008fe20: 3830 302d 3533 2d41 552d 3728 3229 0a20  800-53-AU-7(2). 
│ │ │ +0008fe30: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0008fe40: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +0008fe50: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ +0008fe60: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ +0008fe70: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +0008fe80: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ +0008fe90: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0008fea0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0008feb0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0008fec0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0008fed0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0008fee0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0008fef0: 6765 5f61 7564 6974 5f69 6e73 7461 6c6c  ge_audit_install
│ │ │ +0008ff00: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +0008ff10: 7265 2061 7564 6974 6420 6973 2069 6e73  re auditd is ins
│ │ │ +0008ff20: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ +0008ff30: 3a0a 2020 2020 6e61 6d65 3a20 6175 6469  :.    name: audi
│ │ │ +0008ff40: 7464 0a20 2020 2073 7461 7465 3a20 7072  td.    state: pr
│ │ │ +0008ff50: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +0008ff60: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0008ff70: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0008ff80: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +0008ff90: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008ffa0: 432d 3728 6129 0a20 202d 204e 4953 542d  C-7(a).  - NIST-
│ │ │ +0008ffb0: 3830 302d 3533 2d41 552d 3132 2832 290a  800-53-AU-12(2).
│ │ │ +0008ffc0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008ffd0: 4155 2d31 340a 2020 2d20 4e49 5354 2d38  AU-14.  - NIST-8
│ │ │ +0008ffe0: 3030 2d35 332d 4155 2d32 2861 290a 2020  00-53-AU-2(a).  
│ │ │ +0008fff0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00090000: 2d37 2831 290a 2020 2d20 4e49 5354 2d38  -7(1).  - NIST-8
│ │ │ +00090010: 3030 2d35 332d 4155 2d37 2832 290a 2020  00-53-AU-7(2).  
│ │ │ +00090020: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00090030: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +00090040: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ +00090050: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ +00090060: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +00090070: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +00090080: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00090090: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +000900a0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +000900b0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +000900c0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +000900d0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +000900e0: 655f 6175 6469 745f 696e 7374 616c 6c65  e_audit_installe
│ │ │ +000900f0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00090100: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00090110: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00090120: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00090130: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00090140: 6574 3d22 2369 646d 3234 3634 3822 2074  et="#idm24648" t
│ │ │ +00090150: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00090160: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00090170: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00090180: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00090190: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +000901a0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +000901b0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +000901c0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000901d0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000901e0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +000901f0: 3d22 6964 6d32 3436 3438 223e 3c74 6162  ="idm24648"><tab
│ │ │ +00090200: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00090210: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00090220: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00090230: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00090240: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00090250: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00090260: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00090270: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00090280: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00090290: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000902a0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000902b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +000902c0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +000902d0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +000902e0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +000902f0: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ +00090300: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ +00090310: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ +00090320: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ +00090330: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ +00090340: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ +00090350: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ +00090360: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ +00090370: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ +00090380: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ +00090390: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ +000903a0: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +000903b0: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +000903c0: 7420 696e 7374 616c 6c20 2d79 2022 6175  t install -y "au
│ │ │ +000903d0: 6469 7464 220a 0a65 6c73 650a 2020 2020  ditd"..else.    
│ │ │ +000903e0: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ +000903f0: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ +00090400: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ +00090410: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ +00090420: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +00090430: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00090440: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00090450: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00090460: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00090470: 6172 6765 743d 2223 6964 6d32 3436 3439  arget="#idm24649
│ │ │ +00090480: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00090490: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +000904a0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +000904b0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +000904c0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +000904d0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000904e0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +000904f0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +00090500: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00090510: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00090520: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00090530: 3d22 6964 6d32 3436 3439 223e 3c70 7265  ="idm24649"><pre
│ │ │ +00090540: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ +00090550: 6573 5d5d 0a6e 616d 6520 3d20 2261 7564  es]].name = "aud
│ │ │ +00090560: 6974 6422 0a76 6572 7369 6f6e 203d 2022  itd".version = "
│ │ │ +00090570: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ +00090580: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00090590: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +000905a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +000905b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +000905c0: 6765 743d 2223 6964 6d32 3436 3530 2220  get="#idm24650" 
│ │ │ +000905d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +000905e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +000905f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00090600: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00090610: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00090620: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00090630: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00090640: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00090650: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00090660: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00090670: 2069 643d 2269 646d 3234 3635 3022 3e3c   id="idm24650"><
│ │ │ +00090680: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00090690: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000906a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000906b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000906c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +000906d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +000906e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000906f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00090700: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00090710: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00090720: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00090730: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00090740: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00090750: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00090760: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00090770: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ +00090780: 6e73 7461 6c6c 5f61 7564 6974 640a 0a63  nstall_auditd..c
│ │ │ +00090790: 6c61 7373 2069 6e73 7461 6c6c 5f61 7564  lass install_aud
│ │ │ +000907a0: 6974 6420 7b0a 2020 7061 636b 6167 6520  itd {.  package 
│ │ │ +000907b0: 7b20 2761 7564 6974 6427 3a0a 2020 2020  { 'auditd':.    
│ │ │ +000907c0: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ +000907d0: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │  000907e0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  000907f0: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00090800: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00090810: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00090820: 2064 6174 612d 7474 2d69 643d 2278 6363   data-tt-id="xcc
│ │ │  00090830: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  00090840: 742e 636f 6e74 656e 745f 7275 6c65 5f73  t.content_rule_s
│ │ │ @@ -37402,190 +37402,190 @@
│ │ │  00092190: 7267 6574 3d22 2369 646d 3234 3834 3822  rget="#idm24848"
│ │ │  000921a0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  000921b0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  000921c0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  000921d0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  000921e0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  000921f0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00092200: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00092210: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00092220: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00092230: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00092240: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00092250: 2269 646d 3234 3834 3822 3e3c 7072 653e  "idm24848"><pre>
│ │ │ -00092260: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ -00092270: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ -00092280: 0a65 6e61 626c 6564 203d 205b 2261 7564  .enabled = ["aud
│ │ │ -00092290: 6974 6422 5d0a 3c2f 636f 6465 3e3c 2f70  itd"].</code></p
│ │ │ -000922a0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000922b0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -000922c0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -000922d0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -000922e0: 7461 7267 6574 3d22 2369 646d 3234 3834  target="#idm2484
│ │ │ -000922f0: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ -00092300: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00092310: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00092320: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00092330: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00092340: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00092350: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00092360: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00092370: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00092380: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00092390: 7365 2220 6964 3d22 6964 6d32 3438 3439  se" id="idm24849
│ │ │ -000923a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000923b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000923c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000923d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000923e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000923f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00092400: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00092410: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00092420: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00092430: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00092440: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00092450: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00092460: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00092470: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00092480: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00092490: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -000924a0: 6520 656e 6162 6c65 5f61 7564 6974 640a  e enable_auditd.
│ │ │ -000924b0: 0a63 6c61 7373 2065 6e61 626c 655f 6175  .class enable_au
│ │ │ -000924c0: 6469 7464 207b 0a20 2073 6572 7669 6365  ditd {.  service
│ │ │ -000924d0: 207b 2761 7564 6974 6427 3a0a 2020 2020   {'auditd':.    
│ │ │ -000924e0: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ -000924f0: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ -00092500: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ -00092510: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00092520: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00092530: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00092540: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00092550: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00092560: 6172 6765 743d 2223 6964 6d32 3438 3530  arget="#idm24850
│ │ │ -00092570: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00092580: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00092590: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000925a0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000925b0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000925c0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000925d0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -000925e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000925f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00092600: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00092610: 7365 2220 6964 3d22 6964 6d32 3438 3530  se" id="idm24850
│ │ │ -00092620: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00092630: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00092640: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00092650: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00092660: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00092670: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00092680: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00092690: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000926a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000926b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000926c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000926d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000926e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000926f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00092700: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00092710: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00092720: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -00092730: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -00092740: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -00092750: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -00092760: 7461 6773 3a0a 2020 2d20 434a 4953 2d35  tags:.  - CJIS-5
│ │ │ -00092770: 2e34 2e31 2e31 0a20 202d 204e 4953 542d  .4.1.1.  - NIST-
│ │ │ -00092780: 3830 302d 3137 312d 332e 332e 310a 2020  800-171-3.3.1.  
│ │ │ -00092790: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -000927a0: 2e33 2e32 0a20 202d 204e 4953 542d 3830  .3.2.  - NIST-80
│ │ │ -000927b0: 302d 3137 312d 332e 332e 360a 2020 2d20  0-171-3.3.6.  - 
│ │ │ -000927c0: 4e49 5354 2d38 3030 2d35 332d 4143 2d32  NIST-800-53-AC-2
│ │ │ -000927d0: 2867 290a 2020 2d20 4e49 5354 2d38 3030  (g).  - NIST-800
│ │ │ -000927e0: 2d35 332d 4143 2d36 2839 290a 2020 2d20  -53-AC-6(9).  - 
│ │ │ -000927f0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -00092800: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -00092810: 332d 4155 2d31 3228 6329 0a20 202d 204e  3-AU-12(c).  - N
│ │ │ -00092820: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -00092830: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ -00092840: 2d35 332d 4155 2d32 2864 290a 2020 2d20  -53-AU-2(d).  - 
│ │ │ -00092850: 4e49 5354 2d38 3030 2d35 332d 4155 2d33  NIST-800-53-AU-3
│ │ │ -00092860: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00092870: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ -00092880: 542d 3830 302d 3533 2d53 492d 3428 3233  T-800-53-SI-4(23
│ │ │ -00092890: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -000928a0: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ -000928b0: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ -000928c0: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ -000928d0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -000928e0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -000928f0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00092900: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00092910: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00092920: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00092930: 640a 2020 2d20 7365 7276 6963 655f 6175  d.  - service_au
│ │ │ -00092940: 6469 7464 5f65 6e61 626c 6564 0a0a 2d20  ditd_enabled..- 
│ │ │ -00092950: 6e61 6d65 3a20 456e 6162 6c65 2061 7564  name: Enable aud
│ │ │ -00092960: 6974 6420 5365 7276 6963 6520 2d20 456e  itd Service - En
│ │ │ -00092970: 6162 6c65 2073 6572 7669 6365 2061 7564  able service aud
│ │ │ -00092980: 6974 640a 2020 626c 6f63 6b3a 0a0a 2020  itd.  block:..  
│ │ │ -00092990: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -000929a0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -000929b0: 0a20 2020 2070 6163 6b61 6765 5f66 6163  .    package_fac
│ │ │ -000929c0: 7473 3a0a 2020 2020 2020 6d61 6e61 6765  ts:.      manage
│ │ │ -000929d0: 723a 2061 7574 6f0a 0a20 202d 206e 616d  r: auto..  - nam
│ │ │ -000929e0: 653a 2045 6e61 626c 6520 6175 6469 7464  e: Enable auditd
│ │ │ -000929f0: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ -00092a00: 6520 5365 7276 6963 6520 6175 6469 7464  e Service auditd
│ │ │ -00092a10: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ -00092a20: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ -00092a30: 2020 2020 6e61 6d65 3a20 6175 6469 7464      name: auditd
│ │ │ -00092a40: 0a20 2020 2020 2065 6e61 626c 6564 3a20  .      enabled: 
│ │ │ -00092a50: 7472 7565 0a20 2020 2020 2073 7461 7465  true.      state
│ │ │ -00092a60: 3a20 7374 6172 7465 640a 2020 2020 2020  : started.      
│ │ │ -00092a70: 6d61 736b 6564 3a20 6661 6c73 650a 2020  masked: false.  
│ │ │ -00092a80: 2020 7768 656e 3a0a 2020 2020 2d20 2722    when:.    - '"
│ │ │ -00092a90: 6175 6469 7464 2220 696e 2061 6e73 6962  auditd" in ansib
│ │ │ -00092aa0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -00092ab0: 7327 0a20 2077 6865 6e3a 0a20 202d 2027  s'.  when:.  - '
│ │ │ -00092ac0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -00092ad0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00092ae0: 636b 6167 6573 270a 2020 2d20 2722 6175  ckages'.  - '"au
│ │ │ -00092af0: 6469 7464 2220 696e 2061 6e73 6962 6c65  ditd" in ansible
│ │ │ -00092b00: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00092b10: 0a20 2074 6167 733a 0a20 202d 2043 4a49  .  tags:.  - CJI
│ │ │ -00092b20: 532d 352e 342e 312e 310a 2020 2d20 4e49  S-5.4.1.1.  - NI
│ │ │ -00092b30: 5354 2d38 3030 2d31 3731 2d33 2e33 2e31  ST-800-171-3.3.1
│ │ │ -00092b40: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -00092b50: 312d 332e 332e 320a 2020 2d20 4e49 5354  1-3.3.2.  - NIST
│ │ │ -00092b60: 2d38 3030 2d31 3731 2d33 2e33 2e36 0a20  -800-171-3.3.6. 
│ │ │ -00092b70: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00092b80: 432d 3228 6729 0a20 202d 204e 4953 542d  C-2(g).  - NIST-
│ │ │ -00092b90: 3830 302d 3533 2d41 432d 3628 3929 0a20  800-53-AC-6(9). 
│ │ │ -00092ba0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00092bb0: 552d 3130 0a20 202d 204e 4953 542d 3830  U-10.  - NIST-80
│ │ │ -00092bc0: 302d 3533 2d41 552d 3132 2863 290a 2020  0-53-AU-12(c).  
│ │ │ -00092bd0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00092be0: 2d31 3428 3129 0a20 202d 204e 4953 542d  -14(1).  - NIST-
│ │ │ -00092bf0: 3830 302d 3533 2d41 552d 3228 6429 0a20  800-53-AU-2(d). 
│ │ │ -00092c00: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00092c10: 552d 330a 2020 2d20 4e49 5354 2d38 3030  U-3.  - NIST-800
│ │ │ -00092c20: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00092c30: 4e49 5354 2d38 3030 2d35 332d 5349 2d34  NIST-800-53-SI-4
│ │ │ -00092c40: 2832 3329 0a20 202d 2050 4349 2d44 5353  (23).  - PCI-DSS
│ │ │ -00092c50: 2d52 6571 2d31 302e 310a 2020 2d20 5043  -Req-10.1.  - PC
│ │ │ -00092c60: 492d 4453 5376 342d 3130 2e32 0a20 202d  I-DSSv4-10.2.  -
│ │ │ -00092c70: 2050 4349 2d44 5353 7634 2d31 302e 322e   PCI-DSSv4-10.2.
│ │ │ -00092c80: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ -00092c90: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00092ca0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00092cb0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00092cc0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00092cd0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00092ce0: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ -00092cf0: 5f61 7564 6974 645f 656e 6162 6c65 640a  _auditd_enabled.
│ │ │ +00092200: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00092210: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00092220: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00092230: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00092240: 6522 2069 643d 2269 646d 3234 3834 3822  e" id="idm24848"
│ │ │ +00092250: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00092260: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00092270: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00092280: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00092290: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000922a0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000922b0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000922c0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +000922d0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000922e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000922f0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00092300: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00092310: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00092320: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00092330: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00092340: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00092350: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00092360: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00092370: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00092380: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00092390: 6167 733a 0a20 202d 2043 4a49 532d 352e  ags:.  - CJIS-5.
│ │ │ +000923a0: 342e 312e 310a 2020 2d20 4e49 5354 2d38  4.1.1.  - NIST-8
│ │ │ +000923b0: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d  00-171-3.3.1.  -
│ │ │ +000923c0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +000923d0: 332e 320a 2020 2d20 4e49 5354 2d38 3030  3.2.  - NIST-800
│ │ │ +000923e0: 2d31 3731 2d33 2e33 2e36 0a20 202d 204e  -171-3.3.6.  - N
│ │ │ +000923f0: 4953 542d 3830 302d 3533 2d41 432d 3228  IST-800-53-AC-2(
│ │ │ +00092400: 6729 0a20 202d 204e 4953 542d 3830 302d  g).  - NIST-800-
│ │ │ +00092410: 3533 2d41 432d 3628 3929 0a20 202d 204e  53-AC-6(9).  - N
│ │ │ +00092420: 4953 542d 3830 302d 3533 2d41 552d 3130  IST-800-53-AU-10
│ │ │ +00092430: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00092440: 2d41 552d 3132 2863 290a 2020 2d20 4e49  -AU-12(c).  - NI
│ │ │ +00092450: 5354 2d38 3030 2d35 332d 4155 2d31 3428  ST-800-53-AU-14(
│ │ │ +00092460: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ +00092470: 3533 2d41 552d 3228 6429 0a20 202d 204e  53-AU-2(d).  - N
│ │ │ +00092480: 4953 542d 3830 302d 3533 2d41 552d 330a  IST-800-53-AU-3.
│ │ │ +00092490: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000924a0: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +000924b0: 2d38 3030 2d35 332d 5349 2d34 2832 3329  -800-53-SI-4(23)
│ │ │ +000924c0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +000924d0: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ +000924e0: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ +000924f0: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ +00092500: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00092510: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00092520: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00092530: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00092540: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00092550: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00092560: 0a20 202d 2073 6572 7669 6365 5f61 7564  .  - service_aud
│ │ │ +00092570: 6974 645f 656e 6162 6c65 640a 0a2d 206e  itd_enabled..- n
│ │ │ +00092580: 616d 653a 2045 6e61 626c 6520 6175 6469  ame: Enable audi
│ │ │ +00092590: 7464 2053 6572 7669 6365 202d 2045 6e61  td Service - Ena
│ │ │ +000925a0: 626c 6520 7365 7276 6963 6520 6175 6469  ble service audi
│ │ │ +000925b0: 7464 0a20 2062 6c6f 636b 3a0a 0a20 202d  td.  block:..  -
│ │ │ +000925c0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +000925d0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +000925e0: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ +000925f0: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ +00092600: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ +00092610: 3a20 456e 6162 6c65 2061 7564 6974 6420  : Enable auditd 
│ │ │ +00092620: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +00092630: 2053 6572 7669 6365 2061 7564 6974 640a   Service auditd.
│ │ │ +00092640: 2020 2020 616e 7369 626c 652e 6275 696c      ansible.buil
│ │ │ +00092650: 7469 6e2e 7379 7374 656d 643a 0a20 2020  tin.systemd:.   
│ │ │ +00092660: 2020 206e 616d 653a 2061 7564 6974 640a     name: auditd.
│ │ │ +00092670: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +00092680: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +00092690: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +000926a0: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +000926b0: 2077 6865 6e3a 0a20 2020 202d 2027 2261   when:.    - '"a
│ │ │ +000926c0: 7564 6974 6422 2069 6e20 616e 7369 626c  uditd" in ansibl
│ │ │ +000926d0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +000926e0: 270a 2020 7768 656e 3a0a 2020 2d20 2722  '.  when:.  - '"
│ │ │ +000926f0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +00092700: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +00092710: 6b61 6765 7327 0a20 202d 2027 2261 7564  kages'.  - '"aud
│ │ │ +00092720: 6974 6422 2069 6e20 616e 7369 626c 655f  itd" in ansible_
│ │ │ +00092730: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00092740: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ +00092750: 2d35 2e34 2e31 2e31 0a20 202d 204e 4953  -5.4.1.1.  - NIS
│ │ │ +00092760: 542d 3830 302d 3137 312d 332e 332e 310a  T-800-171-3.3.1.
│ │ │ +00092770: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +00092780: 2d33 2e33 2e32 0a20 202d 204e 4953 542d  -3.3.2.  - NIST-
│ │ │ +00092790: 3830 302d 3137 312d 332e 332e 360a 2020  800-171-3.3.6.  
│ │ │ +000927a0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +000927b0: 2d32 2867 290a 2020 2d20 4e49 5354 2d38  -2(g).  - NIST-8
│ │ │ +000927c0: 3030 2d35 332d 4143 2d36 2839 290a 2020  00-53-AC-6(9).  
│ │ │ +000927d0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +000927e0: 2d31 300a 2020 2d20 4e49 5354 2d38 3030  -10.  - NIST-800
│ │ │ +000927f0: 2d35 332d 4155 2d31 3228 6329 0a20 202d  -53-AU-12(c).  -
│ │ │ +00092800: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00092810: 3134 2831 290a 2020 2d20 4e49 5354 2d38  14(1).  - NIST-8
│ │ │ +00092820: 3030 2d35 332d 4155 2d32 2864 290a 2020  00-53-AU-2(d).  
│ │ │ +00092830: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00092840: 2d33 0a20 202d 204e 4953 542d 3830 302d  -3.  - NIST-800-
│ │ │ +00092850: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +00092860: 4953 542d 3830 302d 3533 2d53 492d 3428  IST-800-53-SI-4(
│ │ │ +00092870: 3233 290a 2020 2d20 5043 492d 4453 532d  23).  - PCI-DSS-
│ │ │ +00092880: 5265 712d 3130 2e31 0a20 202d 2050 4349  Req-10.1.  - PCI
│ │ │ +00092890: 2d44 5353 7634 2d31 302e 320a 2020 2d20  -DSSv4-10.2.  - 
│ │ │ +000928a0: 5043 492d 4453 5376 342d 3130 2e32 2e31  PCI-DSSv4-10.2.1
│ │ │ +000928b0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +000928c0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +000928d0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +000928e0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +000928f0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00092900: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00092910: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ +00092920: 6175 6469 7464 5f65 6e61 626c 6564 0a3c  auditd_enabled.<
│ │ │ +00092930: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00092940: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00092950: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00092960: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00092970: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00092980: 2223 6964 6d32 3438 3439 2220 7461 6269  "#idm24849" tabi
│ │ │ +00092990: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000929a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000929b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000929c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +000929d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +000929e0: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +000929f0: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +00092a00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00092a10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00092a20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00092a30: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +00092a40: 3438 3439 223e 3c70 7265 3e3c 636f 6465  4849"><pre><code
│ │ │ +00092a50: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +00092a60: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +00092a70: 6c65 6420 3d20 5b22 6175 6469 7464 225d  led = ["auditd"]
│ │ │ +00092a80: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00092a90: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00092aa0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00092ab0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00092ac0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00092ad0: 743d 2223 6964 6d32 3438 3530 2220 7461  t="#idm24850" ta
│ │ │ +00092ae0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00092af0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00092b00: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00092b10: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00092b20: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00092b30: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00092b40: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00092b50: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00092b60: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00092b70: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00092b80: 643d 2269 646d 3234 3835 3022 3e3c 7461  d="idm24850"><ta
│ │ │ +00092b90: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00092ba0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00092bb0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00092bc0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00092bd0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00092be0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00092bf0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00092c00: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00092c10: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00092c20: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00092c30: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00092c40: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00092c50: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00092c60: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00092c70: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00092c80: 636f 6465 3e69 6e63 6c75 6465 2065 6e61  code>include ena
│ │ │ +00092c90: 626c 655f 6175 6469 7464 0a0a 636c 6173  ble_auditd..clas
│ │ │ +00092ca0: 7320 656e 6162 6c65 5f61 7564 6974 6420  s enable_auditd 
│ │ │ +00092cb0: 7b0a 2020 7365 7276 6963 6520 7b27 6175  {.  service {'au
│ │ │ +00092cc0: 6469 7464 273a 0a20 2020 2065 6e61 626c  ditd':.    enabl
│ │ │ +00092cd0: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +00092ce0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00092cf0: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │  00092d00: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00092d10: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00092d20: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00092d30: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  le></td></tr></t
│ │ │  00092d40: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f64  body></table></d
│ │ │  00092d50: 6976 3e3c 6469 7620 6964 3d22 7265 6172  iv><div id="rear
│ │ │  00092d60: 2d6d 6174 7465 7222 3e3c 6469 7620 636c  -matter"><div cl
│ │ │ ├── html2text {}
│ │ │ │ @@ -2008,31 +2008,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2069,14 +2052,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ssyysslloogg--nngg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The syslog-ng service (in replacement of rsyslog) provides syslog-style logging
│ │ │ │  by default on Debian. The syslog-ng service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable syslog-ng.service
│ │ │ │  Rationale:  The syslog-ng service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │ @@ -2092,31 +2092,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2152,14 +2135,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2172,31 +2172,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2233,14 +2216,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 12. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2257,31 +2257,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2317,14 +2300,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -4128,31 +4128,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4193,14 +4176,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Deprecated services   Group contains 5 rules
│ │ │ │  _[_r_e_f_]   Some deprecated software services impact the overall system security
│ │ │ │  due to their behavior (leak of confidentiality in network exchange, usage as
│ │ │ │  uncontrolled communication channel, risk associated with the service due to its
│ │ │ │  old age, etc.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee iinneett--bbaasseedd tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The inet-based telnet daemon should be uninstalled.
│ │ │ │ @@ -4224,26 +4224,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4268,33 +4256,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4316,34 +4304,34 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ -uninstalled.
│ │ │ │ -           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ -Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ -           cryptographic mechanisms integrated in NTP.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ +include remove_nis
│ │ │ │  
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ +uninstalled.
│ │ │ │ +           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ +Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ +           cryptographic mechanisms integrated in NTP.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4365,14 +4353,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -4390,26 +4390,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4434,14 +4422,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -4460,26 +4460,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4504,14 +4492,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a
│ │ │ │  network. Computer clocks are not very accurate, so time will drift
│ │ │ │  unpredictably on unmanaged systems. Central time protocols can be used both to
│ │ │ │  ensure that time is consistent among a network of systems, and that their time
│ │ │ │  is consistent with the outside world.
│ │ │ │  
│ │ │ │ @@ -4573,31 +4573,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4636,14 +4619,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee tthhee NNTTPP DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ntp service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable ntp.service
│ │ │ │              Enabling the ntp service ensures that the ntp service will be
│ │ │ │              running and that the system will synchronize its time to any
│ │ │ │              servers specified. This is important whether the system is
│ │ │ │              configured to be a client (and synchronize only its own clock) or
│ │ │ │ @@ -4663,31 +4663,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4731,14 +4714,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5621,31 +5621,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5700,14 +5683,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing
│ │ │ │  System, as it is responsible for writing audit records to disk. The auditd
│ │ │ │  service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be
│ │ │ │              difficult to establish, correlate, and investigate the events
│ │ │ │ @@ -5769,31 +5769,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5859,11 +5842,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_np_nt28_minimal.html
│ │ │ @@ -15652,180 +15652,180 @@
│ │ │  0003d230: 6574 3d22 2369 646d 3130 3730 3122 2074  et="#idm10701" t
│ │ │  0003d240: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0003d250: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0003d260: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0003d270: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0003d280: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0003d290: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0003d2a0: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -0003d2b0: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -0003d2c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0003d2d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0003d2e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0003d2f0: 646d 3130 3730 3122 3e3c 7072 653e 3c63  dm10701"><pre><c
│ │ │ -0003d300: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ -0003d310: 5d0a 6e61 6d65 203d 2022 7379 736c 6f67  ].name = "syslog
│ │ │ -0003d320: 2d6e 6722 0a76 6572 7369 6f6e 203d 2022  -ng".version = "
│ │ │ -0003d330: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ -0003d340: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0003d350: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0003d360: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0003d370: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0003d380: 6765 743d 2223 6964 6d31 3037 3032 2220  get="#idm10702" 
│ │ │ -0003d390: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0003d3a0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0003d3b0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0003d3c0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0003d3d0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0003d3e0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0003d3f0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0003d400: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0003d410: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0003d420: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0003d430: 2069 643d 2269 646d 3130 3730 3222 3e3c   id="idm10702"><
│ │ │ -0003d440: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0003d450: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0003d460: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0003d470: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0003d480: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0003d490: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0003d4a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d4b0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0003d4c0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003d4d0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0003d4e0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0003d4f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d500: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0003d510: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0003d520: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0003d530: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ -0003d540: 6e73 7461 6c6c 5f73 7973 6c6f 672d 6e67  nstall_syslog-ng
│ │ │ -0003d550: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -0003d560: 7379 736c 6f67 2d6e 6720 7b0a 2020 7061  syslog-ng {.  pa
│ │ │ -0003d570: 636b 6167 6520 7b20 2773 7973 6c6f 672d  ckage { 'syslog-
│ │ │ -0003d580: 6e67 273a 0a20 2020 2065 6e73 7572 6520  ng':.    ensure 
│ │ │ -0003d590: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ -0003d5a0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0003d5b0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0003d5c0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0003d5d0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0003d5e0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0003d5f0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -0003d600: 3037 3033 2220 7461 6269 6e64 6578 3d22  0703" tabindex="
│ │ │ -0003d610: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0003d620: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0003d630: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0003d640: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0003d650: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0003d660: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0003d670: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0003d680: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0003d690: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0003d6a0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0003d6b0: 3037 3033 223e 3c74 6162 6c65 2063 6c61  0703"><table cla
│ │ │ -0003d6c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0003d6d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0003d6e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0003d6f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0003d700: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0003d710: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0003d720: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0003d730: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0003d740: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d750: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0003d760: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0003d770: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0003d780: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0003d790: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0003d7a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -0003d7b0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -0003d7c0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -0003d7d0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0003d7e0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -0003d7f0: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ -0003d800: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -0003d810: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -0003d820: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -0003d830: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0003d840: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0003d850: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -0003d860: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0003d870: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0003d880: 5f73 7973 6c6f 676e 675f 696e 7374 616c  _syslogng_instal
│ │ │ -0003d890: 6c65 640a 0a2d 206e 616d 653a 2045 6e73  led..- name: Ens
│ │ │ -0003d8a0: 7572 6520 7379 736c 6f67 2d6e 6720 6973  ure syslog-ng is
│ │ │ -0003d8b0: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -0003d8c0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0003d8d0: 7379 736c 6f67 2d6e 670a 2020 2020 7374  syslog-ng.    st
│ │ │ -0003d8e0: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -0003d8f0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -0003d900: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -0003d910: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -0003d920: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -0003d930: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -0003d940: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -0003d950: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -0003d960: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -0003d970: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -0003d980: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -0003d990: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0003d9a0: 0a20 202d 2070 6163 6b61 6765 5f73 7973  .  - package_sys
│ │ │ -0003d9b0: 6c6f 676e 675f 696e 7374 616c 6c65 640a  logng_installed.
│ │ │ -0003d9c0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0003d9d0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0003d9e0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0003d9f0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0003da00: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0003da10: 3d22 2369 646d 3130 3730 3422 2074 6162  ="#idm10704" tab
│ │ │ -0003da20: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0003da30: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0003da40: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0003da50: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0003da60: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0003da70: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -0003da80: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -0003da90: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0003daa0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0003dab0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0003dac0: 6964 6d31 3037 3034 223e 3c74 6162 6c65  idm10704"><table
│ │ │ -0003dad0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0003dae0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0003daf0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0003db00: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0003db10: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0003db20: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0003db30: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0003db40: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0003db50: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0003db60: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0003db70: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0003db80: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0003db90: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0003dba0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0003dbb0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0003dbc0: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ -0003dbd0: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ -0003dbe0: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ -0003dbf0: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ -0003dc00: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ -0003dc10: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ -0003dc20: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ -0003dc30: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ -0003dc40: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ -0003dc50: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ -0003dc60: 643b 2074 6865 6e0a 0a44 4542 4941 4e5f  d; then..DEBIAN_
│ │ │ -0003dc70: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -0003dc80: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -0003dc90: 696e 7374 616c 6c20 2d79 2022 7379 736c  install -y "sysl
│ │ │ -0003dca0: 6f67 2d6e 6722 0a0a 656c 7365 0a20 2020  og-ng"..else.   
│ │ │ -0003dcb0: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ -0003dcc0: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ -0003dcd0: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ -0003dce0: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ -0003dcf0: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +0003d2a0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0003d2b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0003d2c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0003d2d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0003d2e0: 2069 643d 2269 646d 3130 3730 3122 3e3c   id="idm10701"><
│ │ │ +0003d2f0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0003d300: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0003d310: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0003d320: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0003d330: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0003d340: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0003d350: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003d360: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0003d370: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0003d380: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0003d390: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0003d3a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003d3b0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0003d3c0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0003d3d0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0003d3e0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +0003d3f0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +0003d400: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +0003d410: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +0003d420: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +0003d430: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0003d440: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ +0003d450: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +0003d460: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +0003d470: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +0003d480: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +0003d490: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +0003d4a0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +0003d4b0: 2d20 7061 636b 6167 655f 7379 736c 6f67  - package_syslog
│ │ │ +0003d4c0: 6e67 5f69 6e73 7461 6c6c 6564 0a0a 2d20  ng_installed..- 
│ │ │ +0003d4d0: 6e61 6d65 3a20 456e 7375 7265 2073 7973  name: Ensure sys
│ │ │ +0003d4e0: 6c6f 672d 6e67 2069 7320 696e 7374 616c  log-ng is instal
│ │ │ +0003d4f0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ +0003d500: 2020 206e 616d 653a 2073 7973 6c6f 672d     name: syslog-
│ │ │ +0003d510: 6e67 0a20 2020 2073 7461 7465 3a20 7072  ng.    state: pr
│ │ │ +0003d520: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +0003d530: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0003d540: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0003d550: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +0003d560: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0003d570: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ +0003d580: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +0003d590: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0003d5a0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0003d5b0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +0003d5c0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +0003d5d0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +0003d5e0: 636b 6167 655f 7379 736c 6f67 6e67 5f69  ckage_syslogng_i
│ │ │ +0003d5f0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0003d600: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0003d610: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0003d620: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0003d630: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0003d640: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0003d650: 3037 3032 2220 7461 6269 6e64 6578 3d22  0702" tabindex="
│ │ │ +0003d660: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0003d670: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0003d680: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0003d690: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0003d6a0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0003d6b0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +0003d6c0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +0003d6d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0003d6e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0003d6f0: 7073 6522 2069 643d 2269 646d 3130 3730  pse" id="idm1070
│ │ │ +0003d700: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ +0003d710: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0003d720: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0003d730: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0003d740: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0003d750: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0003d760: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0003d770: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0003d780: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003d790: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0003d7a0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0003d7b0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0003d7c0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0003d7d0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0003d7e0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0003d7f0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ +0003d800: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ +0003d810: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ +0003d820: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ +0003d830: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ +0003d840: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ +0003d850: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ +0003d860: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ +0003d870: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ +0003d880: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ +0003d890: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ +0003d8a0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ +0003d8b0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ +0003d8c0: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ +0003d8d0: 202d 7920 2273 7973 6c6f 672d 6e67 220a   -y "syslog-ng".
│ │ │ +0003d8e0: 0a65 6c73 650a 2020 2020 2667 743b 2661  .else.    &gt;&a
│ │ │ +0003d8f0: 6d70 3b32 2065 6368 6f20 2752 656d 6564  mp;2 echo 'Remed
│ │ │ +0003d900: 6961 7469 6f6e 2069 7320 6e6f 7420 6170  iation is not ap
│ │ │ +0003d910: 706c 6963 6162 6c65 2c20 6e6f 7468 696e  plicable, nothin
│ │ │ +0003d920: 6720 7761 7320 646f 6e65 270a 6669 0a3c  g was done'.fi.<
│ │ │ +0003d930: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0003d940: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0003d950: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0003d960: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0003d970: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0003d980: 2223 6964 6d31 3037 3033 2220 7461 6269  "#idm10703" tabi
│ │ │ +0003d990: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0003d9a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0003d9b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0003d9c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0003d9d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0003d9e0: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +0003d9f0: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +0003da00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0003da10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0003da20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0003da30: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0003da40: 3037 3033 223e 3c70 7265 3e3c 636f 6465  0703"><pre><code
│ │ │ +0003da50: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ +0003da60: 616d 6520 3d20 2273 7973 6c6f 672d 6e67  ame = "syslog-ng
│ │ │ +0003da70: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ +0003da80: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0003da90: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0003daa0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0003dab0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0003dac0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0003dad0: 3d22 2369 646d 3130 3730 3422 2074 6162  ="#idm10704" tab
│ │ │ +0003dae0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0003daf0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0003db00: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0003db10: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0003db20: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0003db30: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +0003db40: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +0003db50: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0003db60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0003db70: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0003db80: 3d22 6964 6d31 3037 3034 223e 3c74 6162  ="idm10704"><tab
│ │ │ +0003db90: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0003dba0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0003dbb0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0003dbc0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0003dbd0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0003dbe0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003dbf0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0003dc00: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0003dc10: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0003dc20: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0003dc30: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0003dc40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0003dc50: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0003dc60: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0003dc70: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0003dc80: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ +0003dc90: 616c 6c5f 7379 736c 6f67 2d6e 670a 0a63  all_syslog-ng..c
│ │ │ +0003dca0: 6c61 7373 2069 6e73 7461 6c6c 5f73 7973  lass install_sys
│ │ │ +0003dcb0: 6c6f 672d 6e67 207b 0a20 2070 6163 6b61  log-ng {.  packa
│ │ │ +0003dcc0: 6765 207b 2027 7379 736c 6f67 2d6e 6727  ge { 'syslog-ng'
│ │ │ +0003dcd0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +0003dce0: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ +0003dcf0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0003dd00: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0003dd10: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0003dd20: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0003dd30: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0003dd40: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  0003dd50: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  0003dd60: 7275 6c65 5f73 6572 7669 6365 5f73 7973  rule_service_sys
│ │ │ @@ -16040,151 +16040,151 @@
│ │ │  0003ea70: 6172 6765 743d 2223 6964 6d31 3037 3838  arget="#idm10788
│ │ │  0003ea80: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  0003ea90: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  0003eaa0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  0003eab0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  0003eac0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  0003ead0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0003eae0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -0003eaf0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -0003eb00: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0003eb10: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0003eb20: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0003eb30: 3d22 6964 6d31 3037 3838 223e 3c70 7265  ="idm10788"><pre
│ │ │ -0003eb40: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ -0003eb50: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ -0003eb60: 5d0a 656e 6162 6c65 6420 3d20 5b22 7379  ].enabled = ["sy
│ │ │ -0003eb70: 736c 6f67 2d6e 6722 5d0a 3c2f 636f 6465  slog-ng"].</code
│ │ │ -0003eb80: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0003eb90: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0003eba0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0003ebb0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0003ebc0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0003ebd0: 3130 3738 3922 2074 6162 696e 6465 783d  10789" tabindex=
│ │ │ -0003ebe0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0003ebf0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0003ec00: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0003ec10: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0003ec20: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0003ec30: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -0003ec40: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0003ec50: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0003ec60: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0003ec70: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0003ec80: 3037 3839 223e 3c74 6162 6c65 2063 6c61  0789"><table cla
│ │ │ -0003ec90: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0003eca0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0003ecb0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0003ecc0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0003ecd0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0003ece0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0003ecf0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0003ed00: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0003ed10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003ed20: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0003ed30: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0003ed40: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0003ed50: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0003ed60: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0003ed70: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -0003ed80: 636c 7564 6520 656e 6162 6c65 5f73 7973  clude enable_sys
│ │ │ -0003ed90: 6c6f 672d 6e67 0a0a 636c 6173 7320 656e  log-ng..class en
│ │ │ -0003eda0: 6162 6c65 5f73 7973 6c6f 672d 6e67 207b  able_syslog-ng {
│ │ │ -0003edb0: 0a20 2073 6572 7669 6365 207b 2773 7973  .  service {'sys
│ │ │ -0003edc0: 6c6f 672d 6e67 273a 0a20 2020 2065 6e61  log-ng':.    ena
│ │ │ -0003edd0: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ -0003ede0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -0003edf0: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ -0003ee00: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -0003ee10: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0003ee20: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0003ee30: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0003ee40: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0003ee50: 6574 3d22 2369 646d 3130 3739 3022 2074  et="#idm10790" t
│ │ │ -0003ee60: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0003ee70: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0003ee80: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0003ee90: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0003eea0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0003eeb0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0003eec0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0003eed0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0003eee0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0003eef0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0003ef00: 2069 643d 2269 646d 3130 3739 3022 3e3c   id="idm10790"><
│ │ │ -0003ef10: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0003ef20: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0003ef30: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0003ef40: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0003ef50: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0003ef60: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0003ef70: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003ef80: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0003ef90: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003efa0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0003efb0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0003efc0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003efd0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0003efe0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0003eff0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0003f000: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0003f010: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0003f020: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0003f030: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0003f040: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0003f050: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0003f060: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -0003f070: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0003f080: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0003f090: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0003f0a0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0003f0b0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0003f0c0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0003f0d0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0003f0e0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0003f0f0: 655f 7379 736c 6f67 6e67 5f65 6e61 626c  e_syslogng_enabl
│ │ │ -0003f100: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ -0003f110: 6c65 2073 7973 6c6f 672d 6e67 2053 6572  le syslog-ng Ser
│ │ │ -0003f120: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -0003f130: 7276 6963 6520 7379 736c 6f67 2d6e 670a  rvice syslog-ng.
│ │ │ -0003f140: 2020 626c 6f63 6b3a 0a0a 2020 2d20 6e61    block:..  - na
│ │ │ -0003f150: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -0003f160: 6163 6b61 6765 2066 6163 7473 0a20 2020  ackage facts.   
│ │ │ -0003f170: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0003f180: 2020 2020 2020 6d61 6e61 6765 723a 2061        manager: a
│ │ │ -0003f190: 7574 6f0a 0a20 202d 206e 616d 653a 2045  uto..  - name: E
│ │ │ -0003f1a0: 6e61 626c 6520 7379 736c 6f67 2d6e 6720  nable syslog-ng 
│ │ │ -0003f1b0: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -0003f1c0: 2053 6572 7669 6365 2073 7973 6c6f 672d   Service syslog-
│ │ │ -0003f1d0: 6e67 0a20 2020 2061 6e73 6962 6c65 2e62  ng.    ansible.b
│ │ │ -0003f1e0: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ -0003f1f0: 2020 2020 2020 6e61 6d65 3a20 7379 736c        name: sysl
│ │ │ -0003f200: 6f67 2d6e 670a 2020 2020 2020 656e 6162  og-ng.      enab
│ │ │ -0003f210: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ -0003f220: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ -0003f230: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ -0003f240: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ -0003f250: 202d 2027 2273 7973 6c6f 672d 6e67 2220   - '"syslog-ng" 
│ │ │ -0003f260: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -0003f270: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ -0003f280: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -0003f290: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -0003f2a0: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -0003f2b0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0003f2c0: 2d35 332d 4155 2d34 2831 290a 2020 2d20  -53-AU-4(1).  - 
│ │ │ -0003f2d0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -0003f2e0: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -0003f2f0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0003f300: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0003f310: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0003f320: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0003f330: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -0003f340: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ -0003f350: 6365 5f73 7973 6c6f 676e 675f 656e 6162  ce_syslogng_enab
│ │ │ -0003f360: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +0003eae0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +0003eaf0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0003eb00: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0003eb10: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0003eb20: 7365 2220 6964 3d22 6964 6d31 3037 3838  se" id="idm10788
│ │ │ +0003eb30: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0003eb40: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0003eb50: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0003eb60: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0003eb70: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0003eb80: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0003eb90: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0003eba0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0003ebb0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0003ebc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0003ebd0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0003ebe0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0003ebf0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0003ec00: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0003ec10: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0003ec20: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0003ec30: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +0003ec40: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +0003ec50: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +0003ec60: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +0003ec70: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0003ec80: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ +0003ec90: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0003eca0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0003ecb0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0003ecc0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0003ecd0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0003ece0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0003ecf0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0003ed00: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +0003ed10: 7669 6365 5f73 7973 6c6f 676e 675f 656e  vice_syslogng_en
│ │ │ +0003ed20: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ +0003ed30: 6e61 626c 6520 7379 736c 6f67 2d6e 6720  nable syslog-ng 
│ │ │ +0003ed40: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +0003ed50: 2073 6572 7669 6365 2073 7973 6c6f 672d   service syslog-
│ │ │ +0003ed60: 6e67 0a20 2062 6c6f 636b 3a0a 0a20 202d  ng.  block:..  -
│ │ │ +0003ed70: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +0003ed80: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0003ed90: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ +0003eda0: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ +0003edb0: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ +0003edc0: 3a20 456e 6162 6c65 2073 7973 6c6f 672d  : Enable syslog-
│ │ │ +0003edd0: 6e67 2053 6572 7669 6365 202d 2045 6e61  ng Service - Ena
│ │ │ +0003ede0: 626c 6520 5365 7276 6963 6520 7379 736c  ble Service sysl
│ │ │ +0003edf0: 6f67 2d6e 670a 2020 2020 616e 7369 626c  og-ng.    ansibl
│ │ │ +0003ee00: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ +0003ee10: 643a 0a20 2020 2020 206e 616d 653a 2073  d:.      name: s
│ │ │ +0003ee20: 7973 6c6f 672d 6e67 0a20 2020 2020 2065  yslog-ng.      e
│ │ │ +0003ee30: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +0003ee40: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +0003ee50: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +0003ee60: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +0003ee70: 2020 2020 2d20 2722 7379 736c 6f67 2d6e      - '"syslog-n
│ │ │ +0003ee80: 6722 2069 6e20 616e 7369 626c 655f 6661  g" in ansible_fa
│ │ │ +0003ee90: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0003eea0: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ +0003eeb0: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ +0003eec0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +0003eed0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +0003eee0: 3830 302d 3533 2d41 552d 3428 3129 0a20  800-53-AU-4(1). 
│ │ │ +0003eef0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0003ef00: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ +0003ef10: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +0003ef20: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0003ef30: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0003ef40: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +0003ef50: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +0003ef60: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ +0003ef70: 7276 6963 655f 7379 736c 6f67 6e67 5f65  rvice_syslogng_e
│ │ │ +0003ef80: 6e61 626c 6564 0a3c 2f63 6f64 653e 3c2f  nabled.</code></
│ │ │ +0003ef90: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0003efa0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0003efb0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0003efc0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0003efd0: 2d74 6172 6765 743d 2223 6964 6d31 3037  -target="#idm107
│ │ │ +0003efe0: 3839 2220 7461 6269 6e64 6578 3d22 3022  89" tabindex="0"
│ │ │ +0003eff0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0003f000: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0003f010: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0003f020: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0003f030: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0003f040: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +0003f050: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +0003f060: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0003f070: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0003f080: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0003f090: 6964 3d22 6964 6d31 3037 3839 223e 3c70  id="idm10789"><p
│ │ │ +0003f0a0: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +0003f0b0: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +0003f0c0: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +0003f0d0: 7379 736c 6f67 2d6e 6722 5d0a 3c2f 636f  syslog-ng"].</co
│ │ │ +0003f0e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0003f0f0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0003f100: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0003f110: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0003f120: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0003f130: 646d 3130 3739 3022 2074 6162 696e 6465  dm10790" tabinde
│ │ │ +0003f140: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0003f150: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0003f160: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0003f170: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0003f180: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0003f190: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +0003f1a0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +0003f1b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0003f1c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0003f1d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0003f1e0: 6d31 3037 3930 223e 3c74 6162 6c65 2063  m10790"><table c
│ │ │ +0003f1f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0003f200: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0003f210: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0003f220: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0003f230: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0003f240: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0003f250: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0003f260: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0003f270: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0003f280: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0003f290: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0003f2a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0003f2b0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +0003f2c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0003f2d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0003f2e0: 696e 636c 7564 6520 656e 6162 6c65 5f73  include enable_s
│ │ │ +0003f2f0: 7973 6c6f 672d 6e67 0a0a 636c 6173 7320  yslog-ng..class 
│ │ │ +0003f300: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ +0003f310: 207b 0a20 2073 6572 7669 6365 207b 2773   {.  service {'s
│ │ │ +0003f320: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ +0003f330: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ +0003f340: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ +0003f350: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ +0003f360: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  0003f370: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  0003f380: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  0003f390: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  0003f3a0: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  0003f3b0: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  0003f3c0: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  0003f3d0: 6c65 5f70 6163 6b61 6765 5f72 7379 736c  le_package_rsysl
│ │ │ @@ -16392,179 +16392,179 @@
│ │ │  00040070: 6765 743d 2223 6964 6d31 3031 3134 2220  get="#idm10114" 
│ │ │  00040080: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00040090: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  000400a0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  000400b0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  000400c0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  000400d0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000400e0: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -000400f0: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -00040100: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00040110: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00040120: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00040130: 6964 6d31 3031 3134 223e 3c70 7265 3e3c  idm10114"><pre><
│ │ │ -00040140: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -00040150: 5d5d 0a6e 616d 6520 3d20 2272 7379 736c  ]].name = "rsysl
│ │ │ -00040160: 6f67 220a 7665 7273 696f 6e20 3d20 222a  og".version = "*
│ │ │ -00040170: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00040180: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00040190: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -000401a0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -000401b0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -000401c0: 6574 3d22 2369 646d 3130 3131 3522 2074  et="#idm10115" t
│ │ │ -000401d0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -000401e0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -000401f0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00040200: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00040210: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00040220: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00040230: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00040240: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00040250: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00040260: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00040270: 6964 3d22 6964 6d31 3031 3135 223e 3c74  id="idm10115"><t
│ │ │ -00040280: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00040290: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000402a0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000402b0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -000402c0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -000402d0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -000402e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000402f0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00040300: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00040310: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00040320: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00040330: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00040340: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00040350: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00040360: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00040370: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ -00040380: 7374 616c 6c5f 7273 7973 6c6f 670a 0a63  stall_rsyslog..c
│ │ │ -00040390: 6c61 7373 2069 6e73 7461 6c6c 5f72 7379  lass install_rsy
│ │ │ -000403a0: 736c 6f67 207b 0a20 2070 6163 6b61 6765  slog {.  package
│ │ │ -000403b0: 207b 2027 7273 7973 6c6f 6727 3a0a 2020   { 'rsyslog':.  
│ │ │ -000403c0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -000403d0: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -000403e0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -000403f0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00040400: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00040410: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00040420: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00040430: 6574 3d22 2369 646d 3130 3131 3622 2074  et="#idm10116" t
│ │ │ -00040440: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00040450: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00040460: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00040470: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00040480: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00040490: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -000404a0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -000404b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000404c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000404d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000404e0: 2069 643d 2269 646d 3130 3131 3622 3e3c   id="idm10116"><
│ │ │ -000404f0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00040500: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00040510: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00040520: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00040530: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00040540: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00040550: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00040560: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00040570: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00040580: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00040590: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000405a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000405b0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000405c0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000405d0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000405e0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -000405f0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00040600: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -00040610: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -00040620: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00040630: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00040640: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -00040650: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00040660: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00040670: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00040680: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00040690: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000406a0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000406b0: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ -000406c0: 675f 696e 7374 616c 6c65 640a 0a2d 206e  g_installed..- n
│ │ │ -000406d0: 616d 653a 2045 6e73 7572 6520 7273 7973  ame: Ensure rsys
│ │ │ -000406e0: 6c6f 6720 6973 2069 6e73 7461 6c6c 6564  log is installed
│ │ │ -000406f0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00040700: 6e61 6d65 3a20 7273 7973 6c6f 670a 2020  name: rsyslog.  
│ │ │ -00040710: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00040720: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00040730: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00040740: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00040750: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00040760: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00040770: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -00040780: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00040790: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -000407a0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -000407b0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -000407c0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -000407d0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -000407e0: 5f72 7379 736c 6f67 5f69 6e73 7461 6c6c  _rsyslog_install
│ │ │ -000407f0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -00040800: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00040810: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00040820: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00040830: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00040840: 6765 743d 2223 6964 6d31 3031 3137 2220  get="#idm10117" 
│ │ │ -00040850: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00040860: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00040870: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00040880: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00040890: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -000408a0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000408b0: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -000408c0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000408d0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000408e0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -000408f0: 643d 2269 646d 3130 3131 3722 3e3c 7461  d="idm10117"><ta
│ │ │ -00040900: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00040910: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00040920: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00040930: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00040940: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00040950: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00040960: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00040970: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00040980: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00040990: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000409a0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000409b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000409c0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -000409d0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -000409e0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -000409f0: 636f 6465 3e23 2052 656d 6564 6961 7469  code># Remediati
│ │ │ -00040a00: 6f6e 2069 7320 6170 706c 6963 6162 6c65  on is applicable
│ │ │ -00040a10: 206f 6e6c 7920 696e 2063 6572 7461 696e   only in certain
│ │ │ -00040a20: 2070 6c61 7466 6f72 6d73 0a69 6620 6470   platforms.if dp
│ │ │ -00040a30: 6b67 2d71 7565 7279 202d 2d73 686f 7720  kg-query --show 
│ │ │ -00040a40: 2d2d 7368 6f77 666f 726d 6174 3d27 247b  --showformat='${
│ │ │ -00040a50: 6462 3a53 7461 7475 732d 5374 6174 7573  db:Status-Status
│ │ │ -00040a60: 7d0a 2720 276c 696e 7578 2d62 6173 6527  }.' 'linux-base'
│ │ │ -00040a70: 2032 2667 743b 2f64 6576 2f6e 756c 6c20   2&gt;/dev/null 
│ │ │ -00040a80: 7c20 6772 6570 202d 7120 5e69 6e73 7461  | grep -q ^insta
│ │ │ -00040a90: 6c6c 6564 3b20 7468 656e 0a0a 4445 4249  lled; then..DEBI
│ │ │ -00040aa0: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -00040ab0: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -00040ac0: 6574 2069 6e73 7461 6c6c 202d 7920 2272  et install -y "r
│ │ │ -00040ad0: 7379 736c 6f67 220a 0a65 6c73 650a 2020  syslog"..else.  
│ │ │ -00040ae0: 2020 2667 743b 2661 6d70 3b32 2065 6368    &gt;&amp;2 ech
│ │ │ -00040af0: 6f20 2752 656d 6564 6961 7469 6f6e 2069  o 'Remediation i
│ │ │ -00040b00: 7320 6e6f 7420 6170 706c 6963 6162 6c65  s not applicable
│ │ │ -00040b10: 2c20 6e6f 7468 696e 6720 7761 7320 646f  , nothing was do
│ │ │ -00040b20: 6e65 270a 6669 0a3c 2f63 6f64 653e 3c2f  ne'.fi.</code></
│ │ │ +000400e0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +000400f0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00040100: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00040110: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00040120: 2220 6964 3d22 6964 6d31 3031 3134 223e  " id="idm10114">
│ │ │ +00040130: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00040140: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00040150: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00040160: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00040170: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00040180: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00040190: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000401a0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +000401b0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000401c0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +000401d0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +000401e0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +000401f0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00040200: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00040210: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00040220: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00040230: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00040240: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +00040250: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +00040260: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +00040270: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00040280: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00040290: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +000402a0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +000402b0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +000402c0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +000402d0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +000402e0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000402f0: 202d 2070 6163 6b61 6765 5f72 7379 736c   - package_rsysl
│ │ │ +00040300: 6f67 5f69 6e73 7461 6c6c 6564 0a0a 2d20  og_installed..- 
│ │ │ +00040310: 6e61 6d65 3a20 456e 7375 7265 2072 7379  name: Ensure rsy
│ │ │ +00040320: 736c 6f67 2069 7320 696e 7374 616c 6c65  slog is installe
│ │ │ +00040330: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +00040340: 206e 616d 653a 2072 7379 736c 6f67 0a20   name: rsyslog. 
│ │ │ +00040350: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00040360: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00040370: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00040380: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00040390: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +000403a0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +000403b0: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +000403c0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +000403d0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +000403e0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +000403f0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00040400: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00040410: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00040420: 655f 7273 7973 6c6f 675f 696e 7374 616c  e_rsyslog_instal
│ │ │ +00040430: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00040440: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00040450: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00040460: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00040470: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00040480: 7267 6574 3d22 2369 646d 3130 3131 3522  rget="#idm10115"
│ │ │ +00040490: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +000404a0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +000404b0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +000404c0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +000404d0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +000404e0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +000404f0: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +00040500: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00040510: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00040520: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00040530: 6964 3d22 6964 6d31 3031 3135 223e 3c74  id="idm10115"><t
│ │ │ +00040540: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00040550: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00040560: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00040570: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00040580: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00040590: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +000405a0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000405b0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +000405c0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000405d0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +000405e0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +000405f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00040600: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00040610: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00040620: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00040630: 3c63 6f64 653e 2320 5265 6d65 6469 6174  <code># Remediat
│ │ │ +00040640: 696f 6e20 6973 2061 7070 6c69 6361 626c  ion is applicabl
│ │ │ +00040650: 6520 6f6e 6c79 2069 6e20 6365 7274 6169  e only in certai
│ │ │ +00040660: 6e20 706c 6174 666f 726d 730a 6966 2064  n platforms.if d
│ │ │ +00040670: 706b 672d 7175 6572 7920 2d2d 7368 6f77  pkg-query --show
│ │ │ +00040680: 202d 2d73 686f 7766 6f72 6d61 743d 2724   --showformat='$
│ │ │ +00040690: 7b64 623a 5374 6174 7573 2d53 7461 7475  {db:Status-Statu
│ │ │ +000406a0: 737d 0a27 2027 6c69 6e75 782d 6261 7365  s}.' 'linux-base
│ │ │ +000406b0: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c  ' 2&gt;/dev/null
│ │ │ +000406c0: 207c 2067 7265 7020 2d71 205e 696e 7374   | grep -q ^inst
│ │ │ +000406d0: 616c 6c65 643b 2074 6865 6e0a 0a44 4542  alled; then..DEB
│ │ │ +000406e0: 4941 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e  IAN_FRONTEND=non
│ │ │ +000406f0: 696e 7465 7261 6374 6976 6520 6170 742d  interactive apt-
│ │ │ +00040700: 6765 7420 696e 7374 616c 6c20 2d79 2022  get install -y "
│ │ │ +00040710: 7273 7973 6c6f 6722 0a0a 656c 7365 0a20  rsyslog"..else. 
│ │ │ +00040720: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ +00040730: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ +00040740: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ +00040750: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ +00040760: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +00040770: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00040780: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00040790: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000407a0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000407b0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ +000407c0: 3131 3622 2074 6162 696e 6465 783d 2230  116" tabindex="0
│ │ │ +000407d0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +000407e0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +000407f0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00040800: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00040810: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00040820: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00040830: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00040840: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00040850: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00040860: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00040870: 2069 643d 2269 646d 3130 3131 3622 3e3c   id="idm10116"><
│ │ │ +00040880: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ +00040890: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ +000408a0: 7273 7973 6c6f 6722 0a76 6572 7369 6f6e  rsyslog".version
│ │ │ +000408b0: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ +000408c0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000408d0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000408e0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +000408f0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00040900: 2d74 6172 6765 743d 2223 6964 6d31 3031  -target="#idm101
│ │ │ +00040910: 3137 2220 7461 6269 6e64 6578 3d22 3022  17" tabindex="0"
│ │ │ +00040920: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00040930: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00040940: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00040950: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00040960: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00040970: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00040980: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00040990: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000409a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000409b0: 7073 6522 2069 643d 2269 646d 3130 3131  pse" id="idm1011
│ │ │ +000409c0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +000409d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000409e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +000409f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00040a00: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00040a10: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00040a20: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00040a30: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00040a40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00040a50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00040a60: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00040a70: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00040a80: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00040a90: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00040aa0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00040ab0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00040ac0: 6465 2069 6e73 7461 6c6c 5f72 7379 736c  de install_rsysl
│ │ │ +00040ad0: 6f67 0a0a 636c 6173 7320 696e 7374 616c  og..class instal
│ │ │ +00040ae0: 6c5f 7273 7973 6c6f 6720 7b0a 2020 7061  l_rsyslog {.  pa
│ │ │ +00040af0: 636b 6167 6520 7b20 2772 7379 736c 6f67  ckage { 'rsyslog
│ │ │ +00040b00: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00040b10: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ +00040b20: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  00040b30: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  00040b40: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  00040b50: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  00040b60: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  00040b70: 6964 3d22 7863 6364 665f 6f72 672e 7373  id="xccdf_org.ss
│ │ │  00040b80: 6770 726f 6a65 6374 2e63 6f6e 7465 6e74  gproject.content
│ │ │  00040b90: 5f72 756c 655f 7365 7276 6963 655f 7273  _rule_service_rs
│ │ │ @@ -16793,149 +16793,149 @@
│ │ │  00041980: 2d74 6172 6765 743d 2223 6964 6d31 3032  -target="#idm102
│ │ │  00041990: 3030 2220 7461 6269 6e64 6578 3d22 3022  00" tabindex="0"
│ │ │  000419a0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  000419b0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  000419c0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  000419d0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  000419e0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -000419f0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -00041a00: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -00041a10: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00041a20: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00041a30: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00041a40: 6964 3d22 6964 6d31 3032 3030 223e 3c70  id="idm10200"><p
│ │ │ -00041a50: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ -00041a60: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ -00041a70: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ -00041a80: 7273 7973 6c6f 6722 5d0a 3c2f 636f 6465  rsyslog"].</code
│ │ │ -00041a90: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00041aa0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00041ab0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00041ac0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00041ad0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00041ae0: 3130 3230 3122 2074 6162 696e 6465 783d  10201" tabindex=
│ │ │ -00041af0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00041b00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00041b10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00041b20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00041b30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00041b40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00041b50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00041b60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00041b70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00041b80: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00041b90: 3032 3031 223e 3c74 6162 6c65 2063 6c61  0201"><table cla
│ │ │ -00041ba0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00041bb0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00041bc0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00041bd0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00041be0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00041bf0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00041c00: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00041c10: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00041c20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00041c30: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00041c40: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00041c50: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00041c60: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00041c70: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00041c80: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00041c90: 636c 7564 6520 656e 6162 6c65 5f72 7379  clude enable_rsy
│ │ │ -00041ca0: 736c 6f67 0a0a 636c 6173 7320 656e 6162  slog..class enab
│ │ │ -00041cb0: 6c65 5f72 7379 736c 6f67 207b 0a20 2073  le_rsyslog {.  s
│ │ │ -00041cc0: 6572 7669 6365 207b 2772 7379 736c 6f67  ervice {'rsyslog
│ │ │ -00041cd0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -00041ce0: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -00041cf0: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -00041d00: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -00041d10: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00041d20: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00041d30: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00041d40: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00041d50: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00041d60: 646d 3130 3230 3222 2074 6162 696e 6465  dm10202" tabinde
│ │ │ -00041d70: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00041d80: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00041d90: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00041da0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00041db0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00041dc0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00041dd0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00041de0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00041df0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00041e00: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00041e10: 646d 3130 3230 3222 3e3c 7461 626c 6520  dm10202"><table 
│ │ │ -00041e20: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00041e30: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00041e40: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00041e50: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00041e60: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00041e70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00041e80: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00041e90: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00041ea0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00041eb0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00041ec0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00041ed0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00041ee0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00041ef0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00041f00: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00041f10: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -00041f20: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00041f30: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -00041f40: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -00041f50: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -00041f60: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00041f70: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ -00041f80: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00041f90: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00041fa0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00041fb0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00041fc0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00041fd0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00041fe0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00041ff0: 2020 2d20 7365 7276 6963 655f 7273 7973    - service_rsys
│ │ │ -00042000: 6c6f 675f 656e 6162 6c65 640a 0a2d 206e  log_enabled..- n
│ │ │ -00042010: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ -00042020: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ -00042030: 6162 6c65 2073 6572 7669 6365 2072 7379  able service rsy
│ │ │ -00042040: 736c 6f67 0a20 2062 6c6f 636b 3a0a 0a20  slog.  block:.. 
│ │ │ -00042050: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ -00042060: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00042070: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ -00042080: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ -00042090: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ -000420a0: 6d65 3a20 456e 6162 6c65 2072 7379 736c  me: Enable rsysl
│ │ │ -000420b0: 6f67 2053 6572 7669 6365 202d 2045 6e61  og Service - Ena
│ │ │ -000420c0: 626c 6520 5365 7276 6963 6520 7273 7973  ble Service rsys
│ │ │ -000420d0: 6c6f 670a 2020 2020 616e 7369 626c 652e  log.    ansible.
│ │ │ -000420e0: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ -000420f0: 0a20 2020 2020 206e 616d 653a 2072 7379  .      name: rsy
│ │ │ -00042100: 736c 6f67 0a20 2020 2020 2065 6e61 626c  slog.      enabl
│ │ │ -00042110: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ -00042120: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ -00042130: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ -00042140: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ -00042150: 2d20 2722 7273 7973 6c6f 6722 2069 6e20  - '"rsyslog" in 
│ │ │ -00042160: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00042170: 636b 6167 6573 270a 2020 7768 656e 3a20  ckages'.  when: 
│ │ │ -00042180: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00042190: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -000421a0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -000421b0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000421c0: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ -000421d0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -000421e0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -000421f0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00042200: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00042210: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00042220: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00042230: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00042240: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -00042250: 7273 7973 6c6f 675f 656e 6162 6c65 640a  rsyslog_enabled.
│ │ │ +000419f0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00041a00: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00041a10: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00041a20: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00041a30: 6170 7365 2220 6964 3d22 6964 6d31 3032  apse" id="idm102
│ │ │ +00041a40: 3030 223e 3c74 6162 6c65 2063 6c61 7373  00"><table class
│ │ │ +00041a50: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00041a60: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00041a70: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00041a80: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00041a90: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00041aa0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00041ab0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00041ac0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00041ad0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00041ae0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00041af0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00041b00: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00041b10: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00041b20: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00041b30: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00041b40: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00041b50: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00041b60: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00041b70: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00041b80: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00041b90: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +00041ba0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00041bb0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00041bc0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00041bd0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00041be0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00041bf0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00041c00: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00041c10: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00041c20: 6572 7669 6365 5f72 7379 736c 6f67 5f65  ervice_rsyslog_e
│ │ │ +00041c30: 6e61 626c 6564 0a0a 2d20 6e61 6d65 3a20  nabled..- name: 
│ │ │ +00041c40: 456e 6162 6c65 2072 7379 736c 6f67 2053  Enable rsyslog S
│ │ │ +00041c50: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +00041c60: 7365 7276 6963 6520 7273 7973 6c6f 670a  service rsyslog.
│ │ │ +00041c70: 2020 626c 6f63 6b3a 0a0a 2020 2d20 6e61    block:..  - na
│ │ │ +00041c80: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00041c90: 6163 6b61 6765 2066 6163 7473 0a20 2020  ackage facts.   
│ │ │ +00041ca0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +00041cb0: 2020 2020 2020 6d61 6e61 6765 723a 2061        manager: a
│ │ │ +00041cc0: 7574 6f0a 0a20 202d 206e 616d 653a 2045  uto..  - name: E
│ │ │ +00041cd0: 6e61 626c 6520 7273 7973 6c6f 6720 5365  nable rsyslog Se
│ │ │ +00041ce0: 7276 6963 6520 2d20 456e 6162 6c65 2053  rvice - Enable S
│ │ │ +00041cf0: 6572 7669 6365 2072 7379 736c 6f67 0a20  ervice rsyslog. 
│ │ │ +00041d00: 2020 2061 6e73 6962 6c65 2e62 7569 6c74     ansible.built
│ │ │ +00041d10: 696e 2e73 7973 7465 6d64 3a0a 2020 2020  in.systemd:.    
│ │ │ +00041d20: 2020 6e61 6d65 3a20 7273 7973 6c6f 670a    name: rsyslog.
│ │ │ +00041d30: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +00041d40: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +00041d50: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +00041d60: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +00041d70: 2077 6865 6e3a 0a20 2020 202d 2027 2272   when:.    - '"r
│ │ │ +00041d80: 7379 736c 6f67 2220 696e 2061 6e73 6962  syslog" in ansib
│ │ │ +00041d90: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00041da0: 7327 0a20 2077 6865 6e3a 2027 226c 696e  s'.  when: '"lin
│ │ │ +00041db0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00041dc0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00041dd0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +00041de0: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ +00041df0: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00041e00: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00041e10: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00041e20: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00041e30: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00041e40: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00041e50: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00041e60: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00041e70: 202d 2073 6572 7669 6365 5f72 7379 736c   - service_rsysl
│ │ │ +00041e80: 6f67 5f65 6e61 626c 6564 0a3c 2f63 6f64  og_enabled.</cod
│ │ │ +00041e90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00041ea0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00041eb0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00041ec0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00041ed0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00041ee0: 6d31 3032 3031 2220 7461 6269 6e64 6578  m10201" tabindex
│ │ │ +00041ef0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00041f00: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00041f10: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00041f20: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00041f30: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00041f40: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00041f50: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00041f60: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00041f70: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00041f80: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00041f90: 7365 2220 6964 3d22 6964 6d31 3032 3031  se" id="idm10201
│ │ │ +00041fa0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +00041fb0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +00041fc0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +00041fd0: 3d20 5b22 7273 7973 6c6f 6722 5d0a 3c2f  = ["rsyslog"].</
│ │ │ +00041fe0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00041ff0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00042000: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00042010: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00042020: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00042030: 2369 646d 3130 3230 3222 2074 6162 696e  #idm10202" tabin
│ │ │ +00042040: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00042050: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00042060: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00042070: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00042080: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00042090: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +000420a0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +000420b0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +000420c0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +000420d0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +000420e0: 6964 6d31 3032 3032 223e 3c74 6162 6c65  idm10202"><table
│ │ │ +000420f0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00042100: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00042110: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00042120: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00042130: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00042140: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00042150: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00042160: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00042170: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00042180: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00042190: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000421a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000421b0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +000421c0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000421d0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000421e0: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ +000421f0: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ +00042200: 656e 6162 6c65 5f72 7379 736c 6f67 207b  enable_rsyslog {
│ │ │ +00042210: 0a20 2073 6572 7669 6365 207b 2772 7379  .  service {'rsy
│ │ │ +00042220: 736c 6f67 273a 0a20 2020 2065 6e61 626c  slog':.    enabl
│ │ │ +00042230: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +00042240: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00042250: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │  00042260: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00042270: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00042280: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00042290: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  000422a0: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  000422b0: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  000422c0: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -22151,146 +22151,146 @@
│ │ │  00056860: 743d 2223 6964 6d31 3936 3337 2220 7461  t="#idm19637" ta
│ │ │  00056870: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00056880: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00056890: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  000568a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  000568b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  000568c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000568d0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -000568e0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000568f0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00056900: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00056910: 643d 2269 646d 3139 3633 3722 3e3c 7461  d="idm19637"><ta
│ │ │ -00056920: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00056930: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00056940: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00056950: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00056960: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00056970: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00056980: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00056990: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000569a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000569b0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000569c0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000569d0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000569e0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -000569f0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00056a00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00056a10: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -00056a20: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ -00056a30: 656c 6e65 7464 0a0a 636c 6173 7320 7265  elnetd..class re
│ │ │ -00056a40: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ -00056a50: 656c 6e65 7464 207b 0a20 2070 6163 6b61  elnetd {.  packa
│ │ │ -00056a60: 6765 207b 2027 696e 6574 7574 696c 732d  ge { 'inetutils-
│ │ │ -00056a70: 7465 6c6e 6574 6427 3a0a 2020 2020 656e  telnetd':.    en
│ │ │ -00056a80: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00056a90: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00056aa0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00056ab0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00056ac0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00056ad0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00056ae0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00056af0: 6d31 3936 3338 2220 7461 6269 6e64 6578  m19638" tabindex
│ │ │ -00056b00: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00056b10: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00056b20: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00056b30: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00056b40: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00056b50: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00056b60: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00056b70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00056b80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00056b90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00056ba0: 6d31 3936 3338 223e 3c74 6162 6c65 2063  m19638"><table c
│ │ │ -00056bb0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00056bc0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00056bd0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00056be0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00056bf0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00056c00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00056c10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00056c20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00056c30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00056c40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00056c50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00056c60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00056c70: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00056c80: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00056c90: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00056ca0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00056cb0: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00056cc0: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00056cd0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00056ce0: 3a20 696e 6574 7574 696c 732d 7465 6c6e  : inetutils-teln
│ │ │ -00056cf0: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00056d00: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00056d10: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00056d20: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00056d30: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00056d40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00056d50: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00056d60: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00056d70: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00056d80: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00056d90: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00056da0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00056db0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00056dc0: 6167 655f 696e 6574 7574 696c 732d 7465  age_inetutils-te
│ │ │ -00056dd0: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ -00056de0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00056df0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00056e00: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00056e10: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00056e20: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00056e30: 2369 646d 3139 3633 3922 2074 6162 696e  #idm19639" tabin
│ │ │ -00056e40: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00056e50: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00056e60: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00056e70: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00056e80: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00056e90: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -00056ea0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -00056eb0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00056ec0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00056ed0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00056ee0: 6d31 3936 3339 223e 3c74 6162 6c65 2063  m19639"><table c
│ │ │ -00056ef0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00056f00: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00056f10: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00056f20: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00056f30: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00056f40: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00056f50: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00056f60: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00056f70: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00056f80: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00056f90: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00056fa0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00056fb0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00056fc0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00056fd0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00056fe0: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -00056ff0: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -00057000: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -00057010: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ -00057020: 7464 0a23 0920 2020 6672 6f6d 2074 6865  td.#.   from the
│ │ │ -00057030: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -00057040: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -00057050: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -00057060: 6570 656e 6420 6f6e 2069 6e65 7475 7469  epend on inetuti
│ │ │ -00057070: 6c73 2d74 656c 6e65 7464 2e20 4578 6563  ls-telnetd. Exec
│ │ │ -00057080: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ -00057090: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ -000570a0: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ -000570b0: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ -000570c0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ -000570d0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ -000570e0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ -000570f0: 2072 656d 6f76 6520 2d79 2022 696e 6574   remove -y "inet
│ │ │ -00057100: 7574 696c 732d 7465 6c6e 6574 6422 0a3c  utils-telnetd".<
│ │ │ +000568d0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +000568e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000568f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00056900: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00056910: 6964 3d22 6964 6d31 3936 3337 223e 3c74  id="idm19637"><t
│ │ │ +00056920: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00056930: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00056940: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00056950: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00056960: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00056970: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00056980: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00056990: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +000569a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000569b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +000569c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +000569d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000569e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +000569f0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00056a00: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00056a10: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +00056a20: 6e73 7572 6520 696e 6574 7574 696c 732d  nsure inetutils-
│ │ │ +00056a30: 7465 6c6e 6574 6420 6973 2072 656d 6f76  telnetd is remov
│ │ │ +00056a40: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00056a50: 2020 6e61 6d65 3a20 696e 6574 7574 696c    name: inetutil
│ │ │ +00056a60: 732d 7465 6c6e 6574 640a 2020 2020 7374  s-telnetd.    st
│ │ │ +00056a70: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +00056a80: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00056a90: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00056aa0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +00056ab0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00056ac0: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +00056ad0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00056ae0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +00056af0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +00056b00: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00056b10: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00056b20: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00056b30: 2d20 7061 636b 6167 655f 696e 6574 7574  - package_inetut
│ │ │ +00056b40: 696c 732d 7465 6c6e 6574 645f 7265 6d6f  ils-telnetd_remo
│ │ │ +00056b50: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +00056b60: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00056b70: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00056b80: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00056b90: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00056ba0: 7267 6574 3d22 2369 646d 3139 3633 3822  rget="#idm19638"
│ │ │ +00056bb0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00056bc0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00056bd0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00056be0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00056bf0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00056c00: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00056c10: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +00056c20: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00056c30: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00056c40: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00056c50: 6964 3d22 6964 6d31 3936 3338 223e 3c74  id="idm19638"><t
│ │ │ +00056c60: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00056c70: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00056c80: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00056c90: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00056ca0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00056cb0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00056cc0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00056cd0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00056ce0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00056cf0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00056d00: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00056d10: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00056d20: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00056d30: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00056d40: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00056d50: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ +00056d60: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +00056d70: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +00056d80: 7265 6d6f 7665 2069 6e65 7475 7469 6c73  remove inetutils
│ │ │ +00056d90: 2d74 656c 6e65 7464 0a23 0920 2020 6672  -telnetd.#.   fr
│ │ │ +00056da0: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +00056db0: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +00056dc0: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +00056dd0: 7468 6174 2064 6570 656e 6420 6f6e 2069  that depend on i
│ │ │ +00056de0: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ +00056df0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00056e00: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00056e10: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +00056e20: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +00056e30: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +00056e40: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00056e50: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00056e60: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00056e70: 2022 696e 6574 7574 696c 732d 7465 6c6e   "inetutils-teln
│ │ │ +00056e80: 6574 6422 0a3c 2f63 6f64 653e 3c2f 7072  etd".</code></pr
│ │ │ +00056e90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00056ea0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00056eb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00056ec0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00056ed0: 6172 6765 743d 2223 6964 6d31 3936 3339  arget="#idm19639
│ │ │ +00056ee0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00056ef0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00056f00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00056f10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00056f20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00056f30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00056f40: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00056f50: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00056f60: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00056f70: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00056f80: 6522 2069 643d 2269 646d 3139 3633 3922  e" id="idm19639"
│ │ │ +00056f90: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00056fa0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00056fb0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00056fc0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00056fd0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00056fe0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00056ff0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00057000: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00057010: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00057020: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00057030: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00057040: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00057050: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00057060: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00057070: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00057080: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00057090: 6520 7265 6d6f 7665 5f69 6e65 7475 7469  e remove_inetuti
│ │ │ +000570a0: 6c73 2d74 656c 6e65 7464 0a0a 636c 6173  ls-telnetd..clas
│ │ │ +000570b0: 7320 7265 6d6f 7665 5f69 6e65 7475 7469  s remove_inetuti
│ │ │ +000570c0: 6c73 2d74 656c 6e65 7464 207b 0a20 2070  ls-telnetd {.  p
│ │ │ +000570d0: 6163 6b61 6765 207b 2027 696e 6574 7574  ackage { 'inetut
│ │ │ +000570e0: 696c 732d 7465 6c6e 6574 6427 3a0a 2020  ils-telnetd':.  
│ │ │ +000570f0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00057100: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  00057110: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00057120: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  00057130: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  00057140: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  00057150: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  00057160: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  00057170: 2e63 6f6e 7465 6e74 5f72 756c 655f 7061  .content_rule_pa
│ │ │ @@ -22385,135 +22385,135 @@
│ │ │  00057700: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00057710: 3d22 2369 646d 3139 3634 3622 2074 6162  ="#idm19646" tab
│ │ │  00057720: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  00057730: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  00057740: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  00057750: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  00057760: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00057770: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -00057780: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -00057790: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000577a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000577b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -000577c0: 3d22 6964 6d31 3936 3436 223e 3c74 6162  ="idm19646"><tab
│ │ │ -000577d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000577e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000577f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00057800: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00057810: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00057820: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00057830: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00057840: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00057850: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00057860: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00057870: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00057880: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00057890: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000578a0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -000578b0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -000578c0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -000578d0: 6f76 655f 6e69 730a 0a63 6c61 7373 2072  ove_nis..class r
│ │ │ -000578e0: 656d 6f76 655f 6e69 7320 7b0a 2020 7061  emove_nis {.  pa
│ │ │ -000578f0: 636b 6167 6520 7b20 276e 6973 273a 0a20  ckage { 'nis':. 
│ │ │ -00057900: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00057910: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00057920: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00057930: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00057940: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00057950: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00057960: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00057970: 3d22 2369 646d 3139 3634 3722 2074 6162  ="#idm19647" tab
│ │ │ -00057980: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00057990: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000579a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000579b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000579c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000579d0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -000579e0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -000579f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00057a00: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00057a10: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00057a20: 643d 2269 646d 3139 3634 3722 3e3c 7461  d="idm19647"><ta
│ │ │ -00057a30: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00057a40: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00057a50: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00057a60: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00057a70: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00057a80: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00057a90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00057aa0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00057ab0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00057ac0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00057ad0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00057ae0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00057af0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00057b00: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00057b10: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00057b20: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00057b30: 7375 7265 206e 6973 2069 7320 7265 6d6f  sure nis is remo
│ │ │ -00057b40: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -00057b50: 2020 206e 616d 653a 206e 6973 0a20 2020     name: nis.   
│ │ │ -00057b60: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -00057b70: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -00057b80: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00057b90: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00057ba0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00057bb0: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -00057bc0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00057bd0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00057be0: 6167 655f 6e69 735f 7265 6d6f 7665 640a  age_nis_removed.
│ │ │ -00057bf0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00057c00: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00057c10: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00057c20: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00057c30: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00057c40: 3d22 2369 646d 3139 3634 3822 2074 6162  ="#idm19648" tab
│ │ │ -00057c50: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00057c60: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00057c70: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00057c80: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00057c90: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00057ca0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -00057cb0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -00057cc0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00057cd0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00057ce0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00057cf0: 6964 6d31 3936 3438 223e 3c74 6162 6c65  idm19648"><table
│ │ │ -00057d00: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00057d10: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00057d20: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00057d30: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00057d40: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00057d50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00057d60: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00057d70: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00057d80: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00057d90: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00057da0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00057db0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00057dc0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00057dd0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00057de0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00057df0: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ -00057e00: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ -00057e10: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ -00057e20: 7665 206e 6973 0a23 0920 2020 6672 6f6d  ve nis.#.   from
│ │ │ -00057e30: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ -00057e40: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ -00057e50: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ -00057e60: 6174 2064 6570 656e 6420 6f6e 206e 6973  at depend on nis
│ │ │ -00057e70: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00057e80: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00057e90: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00057ea0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00057eb0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -00057ec0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -00057ed0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -00057ee0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -00057ef0: 2022 6e69 7322 0a3c 2f63 6f64 653e 3c2f   "nis".</code></
│ │ │ +00057770: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +00057780: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +00057790: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000577a0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +000577b0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +000577c0: 643d 2269 646d 3139 3634 3622 3e3c 7461  d="idm19646"><ta
│ │ │ +000577d0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +000577e0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +000577f0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00057800: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00057810: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00057820: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00057830: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00057840: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00057850: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00057860: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00057870: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00057880: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00057890: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000578a0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +000578b0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +000578c0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +000578d0: 7375 7265 206e 6973 2069 7320 7265 6d6f  sure nis is remo
│ │ │ +000578e0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +000578f0: 2020 206e 616d 653a 206e 6973 0a20 2020     name: nis.   
│ │ │ +00057900: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00057910: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ +00057920: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00057930: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00057940: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00057950: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +00057960: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00057970: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00057980: 6167 655f 6e69 735f 7265 6d6f 7665 640a  age_nis_removed.
│ │ │ +00057990: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000579a0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000579b0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000579c0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +000579d0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000579e0: 3d22 2369 646d 3139 3634 3722 2074 6162  ="#idm19647" tab
│ │ │ +000579f0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00057a00: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00057a10: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00057a20: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00057a30: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00057a40: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ +00057a50: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ +00057a60: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00057a70: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00057a80: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00057a90: 6964 6d31 3936 3437 223e 3c74 6162 6c65  idm19647"><table
│ │ │ +00057aa0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00057ab0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00057ac0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00057ad0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00057ae0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00057af0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00057b00: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00057b10: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00057b20: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00057b30: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00057b40: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00057b50: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00057b60: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00057b70: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00057b80: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00057b90: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ +00057ba0: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ +00057bb0: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ +00057bc0: 7665 206e 6973 0a23 0920 2020 6672 6f6d  ve nis.#.   from
│ │ │ +00057bd0: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +00057be0: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +00057bf0: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +00057c00: 6174 2064 6570 656e 6420 6f6e 206e 6973  at depend on nis
│ │ │ +00057c10: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00057c20: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +00057c30: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +00057c40: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +00057c50: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +00057c60: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +00057c70: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +00057c80: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00057c90: 2022 6e69 7322 0a3c 2f63 6f64 653e 3c2f   "nis".</code></
│ │ │ +00057ca0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00057cb0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00057cc0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00057cd0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00057ce0: 2d74 6172 6765 743d 2223 6964 6d31 3936  -target="#idm196
│ │ │ +00057cf0: 3438 2220 7461 6269 6e64 6578 3d22 3022  48" tabindex="0"
│ │ │ +00057d00: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00057d10: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00057d20: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00057d30: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00057d40: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00057d50: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00057d60: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00057d70: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00057d80: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00057d90: 7073 6522 2069 643d 2269 646d 3139 3634  pse" id="idm1964
│ │ │ +00057da0: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +00057db0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00057dc0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00057dd0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00057de0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00057df0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00057e00: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00057e10: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00057e20: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00057e30: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00057e40: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00057e50: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00057e60: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00057e70: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00057e80: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00057e90: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00057ea0: 7564 6520 7265 6d6f 7665 5f6e 6973 0a0a  ude remove_nis..
│ │ │ +00057eb0: 636c 6173 7320 7265 6d6f 7665 5f6e 6973  class remove_nis
│ │ │ +00057ec0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00057ed0: 6e69 7327 3a0a 2020 2020 656e 7375 7265  nis':.    ensure
│ │ │ +00057ee0: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +00057ef0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  00057f00: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  00057f10: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  00057f20: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  00057f30: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  00057f40: 6964 3d22 7863 6364 665f 6f72 672e 7373  id="xccdf_org.ss
│ │ │  00057f50: 6770 726f 6a65 6374 2e63 6f6e 7465 6e74  gproject.content
│ │ │  00057f60: 5f72 756c 655f 7061 636b 6167 655f 7465  _rule_package_te
│ │ │ @@ -22725,143 +22725,143 @@
│ │ │  00058c40: 2d74 6172 6765 743d 2223 6964 6d31 3937  -target="#idm197
│ │ │  00058c50: 3536 2220 7461 6269 6e64 6578 3d22 3022  56" tabindex="0"
│ │ │  00058c60: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00058c70: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00058c80: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00058c90: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00058ca0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00058cb0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00058cc0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00058cd0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00058ce0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00058cf0: 7073 6522 2069 643d 2269 646d 3139 3735  pse" id="idm1975
│ │ │ -00058d00: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -00058d10: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00058d20: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00058d30: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00058d40: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00058d50: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00058d60: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00058d70: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00058d80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00058d90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00058da0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00058db0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00058dc0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00058dd0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00058de0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00058df0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00058e00: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -00058e10: 7464 2d73 736c 0a0a 636c 6173 7320 7265  td-ssl..class re
│ │ │ -00058e20: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ -00058e30: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -00058e40: 7465 6c6e 6574 642d 7373 6c27 3a0a 2020  telnetd-ssl':.  
│ │ │ -00058e50: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00058e60: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -00058e70: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00058e80: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00058e90: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00058ea0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00058eb0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00058ec0: 2223 6964 6d31 3937 3537 2220 7461 6269  "#idm19757" tabi
│ │ │ -00058ed0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00058ee0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00058ef0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00058f00: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00058f10: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00058f20: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00058f30: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00058f40: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00058f50: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00058f60: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00058f70: 3d22 6964 6d31 3937 3537 223e 3c74 6162  ="idm19757"><tab
│ │ │ -00058f80: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00058f90: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00058fa0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00058fb0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00058fc0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00058fd0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00058fe0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00058ff0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00059000: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00059010: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00059020: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00059030: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00059040: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00059050: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00059060: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00059070: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -00059080: 7572 6520 7465 6c6e 6574 642d 7373 6c20  ure telnetd-ssl 
│ │ │ -00059090: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -000590a0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -000590b0: 7465 6c6e 6574 642d 7373 6c0a 2020 2020  telnetd-ssl.    
│ │ │ -000590c0: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -000590d0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -000590e0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -000590f0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00059100: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -00059110: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -00059120: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -00059130: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ -00059140: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ -00059150: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00059160: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -00059170: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00059180: 2020 2d20 7061 636b 6167 655f 7465 6c6e    - package_teln
│ │ │ -00059190: 6574 642d 7373 6c5f 7265 6d6f 7665 640a  etd-ssl_removed.
│ │ │ -000591a0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -000591b0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -000591c0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -000591d0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -000591e0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -000591f0: 3d22 2369 646d 3139 3735 3822 2074 6162  ="#idm19758" tab
│ │ │ -00059200: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00059210: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00059220: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00059230: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00059240: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00059250: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -00059260: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -00059270: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00059280: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00059290: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -000592a0: 6964 6d31 3937 3538 223e 3c74 6162 6c65  idm19758"><table
│ │ │ -000592b0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -000592c0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -000592d0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -000592e0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -000592f0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00059300: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00059310: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00059320: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00059330: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00059340: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00059350: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00059360: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00059370: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00059380: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00059390: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -000593a0: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ -000593b0: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ -000593c0: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ -000593d0: 7665 2074 656c 6e65 7464 2d73 736c 0a23  ve telnetd-ssl.#
│ │ │ -000593e0: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -000593f0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -00059400: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -00059410: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -00059420: 6420 6f6e 2074 656c 6e65 7464 2d73 736c  d on telnetd-ssl
│ │ │ -00059430: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -00059440: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -00059450: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -00059460: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -00059470: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -00059480: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -00059490: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -000594a0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -000594b0: 2022 7465 6c6e 6574 642d 7373 6c22 0a3c   "telnetd-ssl".<
│ │ │ +00058cb0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00058cc0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00058cd0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00058ce0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00058cf0: 6170 7365 2220 6964 3d22 6964 6d31 3937  apse" id="idm197
│ │ │ +00058d00: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +00058d10: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00058d20: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00058d30: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00058d40: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00058d50: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00058d60: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00058d70: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00058d80: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00058d90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00058da0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00058db0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00058dc0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00058dd0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00058de0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00058df0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00058e00: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +00058e10: 6574 642d 7373 6c20 6973 2072 656d 6f76  etd-ssl is remov
│ │ │ +00058e20: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00058e30: 2020 6e61 6d65 3a20 7465 6c6e 6574 642d    name: telnetd-
│ │ │ +00058e40: 7373 6c0a 2020 2020 7374 6174 653a 2061  ssl.    state: a
│ │ │ +00058e50: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ +00058e60: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00058e70: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ +00058e80: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ +00058e90: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00058ea0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ +00058eb0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ +00058ec0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ +00058ed0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00058ee0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00058ef0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ +00058f00: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00058f10: 6167 655f 7465 6c6e 6574 642d 7373 6c5f  age_telnetd-ssl_
│ │ │ +00058f20: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00058f30: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00058f40: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00058f50: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00058f60: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00058f70: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +00058f80: 3735 3722 2074 6162 696e 6465 783d 2230  757" tabindex="0
│ │ │ +00058f90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00058fa0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00058fb0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00058fc0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00058fd0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00058fe0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +00058ff0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +00059000: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00059010: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00059020: 7365 2220 6964 3d22 6964 6d31 3937 3537  se" id="idm19757
│ │ │ +00059030: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00059040: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00059050: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00059060: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00059070: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00059080: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00059090: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000590a0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000590b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000590c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000590d0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000590e0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000590f0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00059100: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +00059110: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00059120: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ +00059130: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ +00059140: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ +00059150: 696c 6c20 7265 6d6f 7665 2074 656c 6e65  ill remove telne
│ │ │ +00059160: 7464 2d73 736c 0a23 0920 2020 6672 6f6d  td-ssl.#.   from
│ │ │ +00059170: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +00059180: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +00059190: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +000591a0: 6174 2064 6570 656e 6420 6f6e 2074 656c  at depend on tel
│ │ │ +000591b0: 6e65 7464 2d73 736c 2e20 4578 6563 7574  netd-ssl. Execut
│ │ │ +000591c0: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ +000591d0: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ +000591e0: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ +000591f0: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ +00059200: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ +00059210: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ +00059220: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ +00059230: 656d 6f76 6520 2d79 2022 7465 6c6e 6574  emove -y "telnet
│ │ │ +00059240: 642d 7373 6c22 0a3c 2f63 6f64 653e 3c2f  d-ssl".</code></
│ │ │ +00059250: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00059260: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00059270: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00059280: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00059290: 2d74 6172 6765 743d 2223 6964 6d31 3937  -target="#idm197
│ │ │ +000592a0: 3538 2220 7461 6269 6e64 6578 3d22 3022  58" tabindex="0"
│ │ │ +000592b0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000592c0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000592d0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000592e0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000592f0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00059300: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00059310: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00059320: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00059330: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00059340: 7073 6522 2069 643d 2269 646d 3139 3735  pse" id="idm1975
│ │ │ +00059350: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +00059360: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00059370: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00059380: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00059390: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +000593a0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +000593b0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000593c0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +000593d0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000593e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +000593f0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00059400: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00059410: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00059420: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00059430: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00059440: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00059450: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ +00059460: 7464 2d73 736c 0a0a 636c 6173 7320 7265  td-ssl..class re
│ │ │ +00059470: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ +00059480: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00059490: 7465 6c6e 6574 642d 7373 6c27 3a0a 2020  telnetd-ssl':.  
│ │ │ +000594a0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +000594b0: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  000594c0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  000594d0: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  000594e0: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  000594f0: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  00059500: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  00059510: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  00059520: 2e63 6f6e 7465 6e74 5f72 756c 655f 7061  .content_rule_pa
│ │ │ @@ -23073,141 +23073,141 @@
│ │ │  0005a200: 2d74 6172 6765 743d 2223 6964 6d31 3938  -target="#idm198
│ │ │  0005a210: 3536 2220 7461 6269 6e64 6578 3d22 3022  56" tabindex="0"
│ │ │  0005a220: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0005a230: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0005a240: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0005a250: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0005a260: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0005a270: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0005a280: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0005a290: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0005a2a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0005a2b0: 7073 6522 2069 643d 2269 646d 3139 3835  pse" id="idm1985
│ │ │ -0005a2c0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0005a2d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0005a2e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0005a2f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0005a300: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0005a310: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0005a320: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0005a330: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0005a340: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0005a350: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0005a360: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0005a370: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0005a380: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0005a390: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0005a3a0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0005a3b0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0005a3c0: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -0005a3d0: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ -0005a3e0: 5f74 656c 6e65 7464 207b 0a20 2070 6163  _telnetd {.  pac
│ │ │ -0005a3f0: 6b61 6765 207b 2027 7465 6c6e 6574 6427  kage { 'telnetd'
│ │ │ -0005a400: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0005a410: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -0005a420: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0005a430: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0005a440: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0005a450: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0005a460: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0005a470: 6765 743d 2223 6964 6d31 3938 3537 2220  get="#idm19857" 
│ │ │ -0005a480: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0005a490: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0005a4a0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0005a4b0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0005a4c0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0005a4d0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0005a4e0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0005a4f0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0005a500: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0005a510: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0005a520: 2220 6964 3d22 6964 6d31 3938 3537 223e  " id="idm19857">
│ │ │ -0005a530: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0005a540: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0005a550: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0005a560: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0005a570: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0005a580: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0005a590: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0005a5a0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0005a5b0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0005a5c0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0005a5d0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0005a5e0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0005a5f0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0005a600: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0005a610: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0005a620: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0005a630: 2045 6e73 7572 6520 7465 6c6e 6574 6420   Ensure telnetd 
│ │ │ -0005a640: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -0005a650: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0005a660: 7465 6c6e 6574 640a 2020 2020 7374 6174  telnetd.    stat
│ │ │ -0005a670: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -0005a680: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0005a690: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0005a6a0: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -0005a6b0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0005a6c0: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ -0005a6d0: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -0005a6e0: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ -0005a6f0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0005a700: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0005a710: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ -0005a720: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -0005a730: 7061 636b 6167 655f 7465 6c6e 6574 645f  package_telnetd_
│ │ │ -0005a740: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ -0005a750: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0005a760: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0005a770: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0005a780: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0005a790: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ -0005a7a0: 3835 3822 2074 6162 696e 6465 783d 2230  858" tabindex="0
│ │ │ -0005a7b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0005a7c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0005a7d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0005a7e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0005a7f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0005a800: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -0005a810: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -0005a820: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0005a830: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0005a840: 7365 2220 6964 3d22 6964 6d31 3938 3538  se" id="idm19858
│ │ │ -0005a850: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0005a860: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0005a870: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0005a880: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0005a890: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0005a8a0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0005a8b0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0005a8c0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0005a8d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0005a8e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0005a8f0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0005a900: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0005a910: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0005a920: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0005a930: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0005a940: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ -0005a950: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ -0005a960: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ -0005a970: 696c 6c20 7265 6d6f 7665 2074 656c 6e65  ill remove telne
│ │ │ -0005a980: 7464 0a23 0920 2020 6672 6f6d 2074 6865  td.#.   from the
│ │ │ -0005a990: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ -0005a9a0: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ -0005a9b0: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ -0005a9c0: 6570 656e 6420 6f6e 2074 656c 6e65 7464  epend on telnetd
│ │ │ -0005a9d0: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ -0005a9e0: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ -0005a9f0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ -0005aa00: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ -0005aa10: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ -0005aa20: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ -0005aa30: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ -0005aa40: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ -0005aa50: 2022 7465 6c6e 6574 6422 0a3c 2f63 6f64   "telnetd".</cod
│ │ │ +0005a270: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0005a280: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0005a290: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0005a2a0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0005a2b0: 6170 7365 2220 6964 3d22 6964 6d31 3938  apse" id="idm198
│ │ │ +0005a2c0: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +0005a2d0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0005a2e0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0005a2f0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0005a300: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0005a310: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0005a320: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0005a330: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0005a340: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0005a350: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0005a360: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0005a370: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0005a380: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0005a390: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0005a3a0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0005a3b0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0005a3c0: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +0005a3d0: 6574 6420 6973 2072 656d 6f76 6564 0a20  etd is removed. 
│ │ │ +0005a3e0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0005a3f0: 6d65 3a20 7465 6c6e 6574 640a 2020 2020  me: telnetd.    
│ │ │ +0005a400: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +0005a410: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0005a420: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0005a430: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0005a440: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +0005a450: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +0005a460: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +0005a470: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +0005a480: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +0005a490: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0005a4a0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +0005a4b0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0005a4c0: 2020 2d20 7061 636b 6167 655f 7465 6c6e    - package_teln
│ │ │ +0005a4d0: 6574 645f 7265 6d6f 7665 640a 3c2f 636f  etd_removed.</co
│ │ │ +0005a4e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0005a4f0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0005a500: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0005a510: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0005a520: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0005a530: 646d 3139 3835 3722 2074 6162 696e 6465  dm19857" tabinde
│ │ │ +0005a540: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0005a550: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0005a560: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0005a570: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0005a580: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0005a590: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ +0005a5a0: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ +0005a5b0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0005a5c0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0005a5d0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0005a5e0: 3938 3537 223e 3c74 6162 6c65 2063 6c61  9857"><table cla
│ │ │ +0005a5f0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0005a600: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0005a610: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0005a620: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0005a630: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0005a640: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0005a650: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0005a660: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0005a670: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0005a680: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0005a690: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0005a6a0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0005a6b0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0005a6c0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0005a6d0: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ +0005a6e0: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ +0005a6f0: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ +0005a700: 7074 2077 696c 6c20 7265 6d6f 7665 2074  pt will remove t
│ │ │ +0005a710: 656c 6e65 7464 0a23 0920 2020 6672 6f6d  elnetd.#.   from
│ │ │ +0005a720: 2074 6865 2073 7973 7465 6d2c 2061 6e64   the system, and
│ │ │ +0005a730: 206d 6179 2072 656d 6f76 6520 616e 7920   may remove any 
│ │ │ +0005a740: 7061 636b 6167 6573 0a23 0920 2020 7468  packages.#.   th
│ │ │ +0005a750: 6174 2064 6570 656e 6420 6f6e 2074 656c  at depend on tel
│ │ │ +0005a760: 6e65 7464 2e20 4578 6563 7574 6520 7468  netd. Execute th
│ │ │ +0005a770: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ +0005a780: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ +0005a790: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ +0005a7a0: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ +0005a7b0: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ +0005a7c0: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +0005a7d0: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ +0005a7e0: 6520 2d79 2022 7465 6c6e 6574 6422 0a3c  e -y "telnetd".<
│ │ │ +0005a7f0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0005a800: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0005a810: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0005a820: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0005a830: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0005a840: 2223 6964 6d31 3938 3538 2220 7461 6269  "#idm19858" tabi
│ │ │ +0005a850: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0005a860: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0005a870: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0005a880: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0005a890: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0005a8a0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0005a8b0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0005a8c0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0005a8d0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0005a8e0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0005a8f0: 2269 646d 3139 3835 3822 3e3c 7461 626c  "idm19858"><tabl
│ │ │ +0005a900: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0005a910: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0005a920: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0005a930: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0005a940: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0005a950: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0005a960: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0005a970: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0005a980: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0005a990: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0005a9a0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0005a9b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0005a9c0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0005a9d0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +0005a9e0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0005a9f0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +0005aa00: 7665 5f74 656c 6e65 7464 0a0a 636c 6173  ve_telnetd..clas
│ │ │ +0005aa10: 7320 7265 6d6f 7665 5f74 656c 6e65 7464  s remove_telnetd
│ │ │ +0005aa20: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0005aa30: 7465 6c6e 6574 6427 3a0a 2020 2020 656e  telnetd':.    en
│ │ │ +0005aa40: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +0005aa50: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  0005aa60: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  0005aa70: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  0005aa80: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  0005aa90: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  0005aaa0: 3c2f 7461 626c 653e 3c2f 6469 763e 3c64  </table></div><d
│ │ │  0005aab0: 6976 2069 643d 2272 6561 722d 6d61 7474  iv id="rear-matt
│ │ │  0005aac0: 6572 223e 3c64 6976 2063 6c61 7373 3d22  er"><div class="
│ │ │ ├── html2text {}
│ │ │ │ @@ -276,31 +276,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -337,14 +320,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ssyysslloogg--nngg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The syslog-ng service (in replacement of rsyslog) provides syslog-style logging
│ │ │ │  by default on Debian. The syslog-ng service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable syslog-ng.service
│ │ │ │  Rationale:  The syslog-ng service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │ @@ -360,31 +360,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -420,14 +403,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -440,31 +440,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -501,14 +484,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 12. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -525,31 +525,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -585,14 +568,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 2 groups and 12 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -1566,26 +1566,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -1610,33 +1598,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -1658,14 +1646,26 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -1683,26 +1683,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -1727,14 +1715,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -1753,26 +1753,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -1797,11 +1785,23 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_np_nt28_restrictive.html
│ │ │ @@ -20665,180 +20665,180 @@
│ │ │  00050b80: 7267 6574 3d22 2369 646d 3130 3730 3122  rget="#idm10701"
│ │ │  00050b90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00050ba0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00050bb0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00050bc0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00050bd0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00050be0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00050bf0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00050c00: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00050c10: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00050c20: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00050c30: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00050c40: 2269 646d 3130 3730 3122 3e3c 7072 653e  "idm10701"><pre>
│ │ │ -00050c50: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ -00050c60: 735d 5d0a 6e61 6d65 203d 2022 7379 736c  s]].name = "sysl
│ │ │ -00050c70: 6f67 2d6e 6722 0a76 6572 7369 6f6e 203d  og-ng".version =
│ │ │ -00050c80: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │ -00050c90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00050ca0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00050cb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00050cc0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00050cd0: 6172 6765 743d 2223 6964 6d31 3037 3032  arget="#idm10702
│ │ │ -00050ce0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00050cf0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00050d00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00050d10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00050d20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00050d30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00050d40: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -00050d50: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00050d60: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00050d70: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00050d80: 6522 2069 643d 2269 646d 3130 3730 3222  e" id="idm10702"
│ │ │ -00050d90: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00050da0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00050db0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00050dc0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00050dd0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00050de0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00050df0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00050e00: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00050e10: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00050e20: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00050e30: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00050e40: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00050e50: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00050e60: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00050e70: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00050e80: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00050e90: 2069 6e73 7461 6c6c 5f73 7973 6c6f 672d   install_syslog-
│ │ │ -00050ea0: 6e67 0a0a 636c 6173 7320 696e 7374 616c  ng..class instal
│ │ │ -00050eb0: 6c5f 7379 736c 6f67 2d6e 6720 7b0a 2020  l_syslog-ng {.  
│ │ │ -00050ec0: 7061 636b 6167 6520 7b20 2773 7973 6c6f  package { 'syslo
│ │ │ -00050ed0: 672d 6e67 273a 0a20 2020 2065 6e73 7572  g-ng':.    ensur
│ │ │ -00050ee0: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ -00050ef0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00050f00: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00050f10: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00050f20: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00050f30: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00050f40: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00050f50: 6d31 3037 3033 2220 7461 6269 6e64 6578  m10703" tabindex
│ │ │ -00050f60: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00050f70: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00050f80: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00050f90: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00050fa0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00050fb0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00050fc0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00050fd0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00050fe0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00050ff0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00051000: 6d31 3037 3033 223e 3c74 6162 6c65 2063  m10703"><table c
│ │ │ -00051010: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00051020: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00051030: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00051040: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00051050: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00051060: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00051070: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00051080: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00051090: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000510a0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000510b0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000510c0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000510d0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000510e0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000510f0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00051100: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -00051110: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -00051120: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -00051130: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -00051140: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -00051150: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -00051160: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -00051170: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00051180: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00051190: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -000511a0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -000511b0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -000511c0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000511d0: 6765 5f73 7973 6c6f 676e 675f 696e 7374  ge_syslogng_inst
│ │ │ -000511e0: 616c 6c65 640a 0a2d 206e 616d 653a 2045  alled..- name: E
│ │ │ -000511f0: 6e73 7572 6520 7379 736c 6f67 2d6e 6720  nsure syslog-ng 
│ │ │ -00051200: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ -00051210: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00051220: 3a20 7379 736c 6f67 2d6e 670a 2020 2020  : syslog-ng.    
│ │ │ -00051230: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ -00051240: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ -00051250: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ -00051260: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -00051270: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -00051280: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00051290: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -000512a0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -000512b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -000512c0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -000512d0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -000512e0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -000512f0: 6564 0a20 202d 2070 6163 6b61 6765 5f73  ed.  - package_s
│ │ │ -00051300: 7973 6c6f 676e 675f 696e 7374 616c 6c65  yslogng_installe
│ │ │ -00051310: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ -00051320: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00051330: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00051340: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00051350: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00051360: 6574 3d22 2369 646d 3130 3730 3422 2074  et="#idm10704" t
│ │ │ -00051370: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00051380: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00051390: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -000513a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -000513b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -000513c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -000513d0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ -000513e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000513f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00051400: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00051410: 3d22 6964 6d31 3037 3034 223e 3c74 6162  ="idm10704"><tab
│ │ │ -00051420: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00051430: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00051440: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00051450: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00051460: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00051470: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00051480: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00051490: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000514a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000514b0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000514c0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000514d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000514e0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000514f0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00051500: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00051510: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ -00051520: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ -00051530: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ -00051540: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ -00051550: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ -00051560: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ -00051570: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ -00051580: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ -00051590: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ -000515a0: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ -000515b0: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ -000515c0: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ -000515d0: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ -000515e0: 7420 696e 7374 616c 6c20 2d79 2022 7379  t install -y "sy
│ │ │ -000515f0: 736c 6f67 2d6e 6722 0a0a 656c 7365 0a20  slog-ng"..else. 
│ │ │ -00051600: 2020 2026 6774 3b26 616d 703b 3220 6563     &gt;&amp;2 ec
│ │ │ -00051610: 686f 2027 5265 6d65 6469 6174 696f 6e20  ho 'Remediation 
│ │ │ -00051620: 6973 206e 6f74 2061 7070 6c69 6361 626c  is not applicabl
│ │ │ -00051630: 652c 206e 6f74 6869 6e67 2077 6173 2064  e, nothing was d
│ │ │ -00051640: 6f6e 6527 0a66 690a 3c2f 636f 6465 3e3c  one'.fi.</code><
│ │ │ +00050bf0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00050c00: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00050c10: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00050c20: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00050c30: 6522 2069 643d 2269 646d 3130 3730 3122  e" id="idm10701"
│ │ │ +00050c40: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00050c50: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00050c60: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00050c70: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00050c80: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00050c90: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00050ca0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00050cb0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00050cc0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00050cd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00050ce0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00050cf0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00050d00: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00050d10: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00050d20: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00050d30: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00050d40: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00050d50: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00050d60: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00050d70: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00050d80: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00050d90: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00050da0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00050db0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00050dc0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00050dd0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00050de0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00050df0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00050e00: 2020 2d20 7061 636b 6167 655f 7379 736c    - package_sysl
│ │ │ +00050e10: 6f67 6e67 5f69 6e73 7461 6c6c 6564 0a0a  ogng_installed..
│ │ │ +00050e20: 2d20 6e61 6d65 3a20 456e 7375 7265 2073  - name: Ensure s
│ │ │ +00050e30: 7973 6c6f 672d 6e67 2069 7320 696e 7374  yslog-ng is inst
│ │ │ +00050e40: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +00050e50: 0a20 2020 206e 616d 653a 2073 7973 6c6f  .    name: syslo
│ │ │ +00050e60: 672d 6e67 0a20 2020 2073 7461 7465 3a20  g-ng.    state: 
│ │ │ +00050e70: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ +00050e80: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +00050e90: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00050ea0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00050eb0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00050ec0: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00050ed0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00050ee0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00050ef0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00050f00: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00050f10: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00050f20: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00050f30: 7061 636b 6167 655f 7379 736c 6f67 6e67  package_syslogng
│ │ │ +00050f40: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +00050f50: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00050f60: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00050f70: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00050f80: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00050f90: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00050fa0: 6d31 3037 3032 2220 7461 6269 6e64 6578  m10702" tabindex
│ │ │ +00050fb0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00050fc0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00050fd0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00050fe0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00050ff0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00051000: 6d65 6469 6174 696f 6e20 5368 656c 6c20  mediation Shell 
│ │ │ +00051010: 7363 7269 7074 20e2 87b2 3c2f 613e 3c62  script ...</a><b
│ │ │ +00051020: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00051030: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00051040: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00051050: 3730 3222 3e3c 7461 626c 6520 636c 6173  702"><table clas
│ │ │ +00051060: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00051070: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00051080: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00051090: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +000510a0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +000510b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000510c0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +000510d0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +000510e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000510f0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00051100: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00051110: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00051120: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00051130: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00051140: 653e 3c70 7265 3e3c 636f 6465 3e23 2052  e><pre><code># R
│ │ │ +00051150: 656d 6564 6961 7469 6f6e 2069 7320 6170  emediation is ap
│ │ │ +00051160: 706c 6963 6162 6c65 206f 6e6c 7920 696e  plicable only in
│ │ │ +00051170: 2063 6572 7461 696e 2070 6c61 7466 6f72   certain platfor
│ │ │ +00051180: 6d73 0a69 6620 6470 6b67 2d71 7565 7279  ms.if dpkg-query
│ │ │ +00051190: 202d 2d73 686f 7720 2d2d 7368 6f77 666f   --show --showfo
│ │ │ +000511a0: 726d 6174 3d27 247b 6462 3a53 7461 7475  rmat='${db:Statu
│ │ │ +000511b0: 732d 5374 6174 7573 7d0a 2720 276c 696e  s-Status}.' 'lin
│ │ │ +000511c0: 7578 2d62 6173 6527 2032 2667 743b 2f64  ux-base' 2&gt;/d
│ │ │ +000511d0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d  ev/null | grep -
│ │ │ +000511e0: 7120 5e69 6e73 7461 6c6c 6564 3b20 7468  q ^installed; th
│ │ │ +000511f0: 656e 0a0a 4445 4249 414e 5f46 524f 4e54  en..DEBIAN_FRONT
│ │ │ +00051200: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +00051210: 7665 2061 7074 2d67 6574 2069 6e73 7461  ve apt-get insta
│ │ │ +00051220: 6c6c 202d 7920 2273 7973 6c6f 672d 6e67  ll -y "syslog-ng
│ │ │ +00051230: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ +00051240: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ +00051250: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ +00051260: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ +00051270: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +00051280: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00051290: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +000512a0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +000512b0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +000512c0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +000512d0: 743d 2223 6964 6d31 3037 3033 2220 7461  t="#idm10703" ta
│ │ │ +000512e0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +000512f0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00051300: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00051310: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00051320: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00051330: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00051340: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +00051350: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00051360: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00051370: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00051380: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00051390: 6d31 3037 3033 223e 3c70 7265 3e3c 636f  m10703"><pre><co
│ │ │ +000513a0: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ +000513b0: 0a6e 616d 6520 3d20 2273 7973 6c6f 672d  .name = "syslog-
│ │ │ +000513c0: 6e67 220a 7665 7273 696f 6e20 3d20 222a  ng".version = "*
│ │ │ +000513d0: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +000513e0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +000513f0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00051400: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00051410: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00051420: 6574 3d22 2369 646d 3130 3730 3422 2074  et="#idm10704" t
│ │ │ +00051430: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00051440: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00051450: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00051460: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00051470: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00051480: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00051490: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +000514a0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000514b0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000514c0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000514d0: 6964 3d22 6964 6d31 3037 3034 223e 3c74  id="idm10704"><t
│ │ │ +000514e0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +000514f0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00051500: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00051510: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00051520: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00051530: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00051540: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00051550: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00051560: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00051570: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00051580: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00051590: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000515a0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +000515b0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +000515c0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +000515d0: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +000515e0: 7374 616c 6c5f 7379 736c 6f67 2d6e 670a  stall_syslog-ng.
│ │ │ +000515f0: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f73  .class install_s
│ │ │ +00051600: 7973 6c6f 672d 6e67 207b 0a20 2070 6163  yslog-ng {.  pac
│ │ │ +00051610: 6b61 6765 207b 2027 7379 736c 6f67 2d6e  kage { 'syslog-n
│ │ │ +00051620: 6727 3a0a 2020 2020 656e 7375 7265 203d  g':.    ensure =
│ │ │ +00051630: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +00051640: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00051650: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  00051660: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00051670: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00051680: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00051690: 2d69 643d 2278 6363 6466 5f6f 7267 2e73  -id="xccdf_org.s
│ │ │  000516a0: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │  000516b0: 745f 7275 6c65 5f73 6572 7669 6365 5f73  t_rule_service_s
│ │ │ @@ -21053,151 +21053,151 @@
│ │ │  000523c0: 2d74 6172 6765 743d 2223 6964 6d31 3037  -target="#idm107
│ │ │  000523d0: 3838 2220 7461 6269 6e64 6578 3d22 3022  88" tabindex="0"
│ │ │  000523e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  000523f0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00052400: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00052410: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00052420: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00052430: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -00052440: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -00052450: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00052460: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00052470: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00052480: 6964 3d22 6964 6d31 3037 3838 223e 3c70  id="idm10788"><p
│ │ │ -00052490: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ -000524a0: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ -000524b0: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ -000524c0: 7379 736c 6f67 2d6e 6722 5d0a 3c2f 636f  syslog-ng"].</co
│ │ │ -000524d0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000524e0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000524f0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00052500: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00052510: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00052520: 646d 3130 3738 3922 2074 6162 696e 6465  dm10789" tabinde
│ │ │ -00052530: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00052540: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00052550: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00052560: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00052570: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00052580: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00052590: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000525a0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000525b0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000525c0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000525d0: 6d31 3037 3839 223e 3c74 6162 6c65 2063  m10789"><table c
│ │ │ -000525e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -000525f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00052600: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00052610: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00052620: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00052630: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00052640: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00052650: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00052660: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00052670: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00052680: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00052690: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000526a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000526b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000526c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000526d0: 696e 636c 7564 6520 656e 6162 6c65 5f73  include enable_s
│ │ │ -000526e0: 7973 6c6f 672d 6e67 0a0a 636c 6173 7320  yslog-ng..class 
│ │ │ -000526f0: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ -00052700: 207b 0a20 2073 6572 7669 6365 207b 2773   {.  service {'s
│ │ │ -00052710: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ -00052720: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ -00052730: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ -00052740: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ -00052750: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00052760: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00052770: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00052780: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00052790: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -000527a0: 7267 6574 3d22 2369 646d 3130 3739 3022  rget="#idm10790"
│ │ │ -000527b0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -000527c0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000527d0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000527e0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000527f0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00052800: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00052810: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00052820: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00052830: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00052840: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00052850: 6522 2069 643d 2269 646d 3130 3739 3022  e" id="idm10790"
│ │ │ -00052860: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00052870: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00052880: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00052890: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -000528a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -000528b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -000528c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000528d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -000528e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000528f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00052900: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00052910: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00052920: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00052930: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00052940: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00052950: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00052960: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00052970: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00052980: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00052990: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -000529a0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -000529b0: 302d 3533 2d41 552d 3428 3129 0a20 202d  0-53-AU-4(1).  -
│ │ │ -000529c0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -000529d0: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -000529e0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -000529f0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00052a00: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00052a10: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00052a20: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00052a30: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00052a40: 6963 655f 7379 736c 6f67 6e67 5f65 6e61  ice_syslogng_ena
│ │ │ -00052a50: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ -00052a60: 6162 6c65 2073 7973 6c6f 672d 6e67 2053  able syslog-ng S
│ │ │ -00052a70: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ -00052a80: 7365 7276 6963 6520 7379 736c 6f67 2d6e  service syslog-n
│ │ │ -00052a90: 670a 2020 626c 6f63 6b3a 0a0a 2020 2d20  g.  block:..  - 
│ │ │ -00052aa0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -00052ab0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -00052ac0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ -00052ad0: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ -00052ae0: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ -00052af0: 2045 6e61 626c 6520 7379 736c 6f67 2d6e   Enable syslog-n
│ │ │ -00052b00: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ -00052b10: 6c65 2053 6572 7669 6365 2073 7973 6c6f  le Service syslo
│ │ │ -00052b20: 672d 6e67 0a20 2020 2061 6e73 6962 6c65  g-ng.    ansible
│ │ │ -00052b30: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ -00052b40: 3a0a 2020 2020 2020 6e61 6d65 3a20 7379  :.      name: sy
│ │ │ -00052b50: 736c 6f67 2d6e 670a 2020 2020 2020 656e  slog-ng.      en
│ │ │ -00052b60: 6162 6c65 643a 2074 7275 650a 2020 2020  abled: true.    
│ │ │ -00052b70: 2020 7374 6174 653a 2073 7461 7274 6564    state: started
│ │ │ -00052b80: 0a20 2020 2020 206d 6173 6b65 643a 2066  .      masked: f
│ │ │ -00052b90: 616c 7365 0a20 2020 2077 6865 6e3a 0a20  alse.    when:. 
│ │ │ -00052ba0: 2020 202d 2027 2273 7973 6c6f 672d 6e67     - '"syslog-ng
│ │ │ -00052bb0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00052bc0: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ -00052bd0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00052be0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00052bf0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00052c00: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00052c10: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ -00052c20: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00052c30: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -00052c40: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00052c50: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00052c60: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00052c70: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00052c80: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00052c90: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ -00052ca0: 7669 6365 5f73 7973 6c6f 676e 675f 656e  vice_syslogng_en
│ │ │ -00052cb0: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +00052430: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00052440: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00052450: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00052460: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00052470: 6170 7365 2220 6964 3d22 6964 6d31 3037  apse" id="idm107
│ │ │ +00052480: 3838 223e 3c74 6162 6c65 2063 6c61 7373  88"><table class
│ │ │ +00052490: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +000524a0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +000524b0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000524c0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000524d0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000524e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000524f0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00052500: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00052510: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00052520: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00052530: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00052540: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00052550: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00052560: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00052570: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00052580: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00052590: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +000525a0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +000525b0: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +000525c0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +000525d0: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +000525e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000525f0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00052600: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00052610: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00052620: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00052630: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00052640: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00052650: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00052660: 6572 7669 6365 5f73 7973 6c6f 676e 675f  ervice_syslogng_
│ │ │ +00052670: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ +00052680: 2045 6e61 626c 6520 7379 736c 6f67 2d6e   Enable syslog-n
│ │ │ +00052690: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ +000526a0: 6c65 2073 6572 7669 6365 2073 7973 6c6f  le service syslo
│ │ │ +000526b0: 672d 6e67 0a20 2062 6c6f 636b 3a0a 0a20  g-ng.  block:.. 
│ │ │ +000526c0: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ +000526d0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +000526e0: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ +000526f0: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ +00052700: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ +00052710: 6d65 3a20 456e 6162 6c65 2073 7973 6c6f  me: Enable syslo
│ │ │ +00052720: 672d 6e67 2053 6572 7669 6365 202d 2045  g-ng Service - E
│ │ │ +00052730: 6e61 626c 6520 5365 7276 6963 6520 7379  nable Service sy
│ │ │ +00052740: 736c 6f67 2d6e 670a 2020 2020 616e 7369  slog-ng.    ansi
│ │ │ +00052750: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ +00052760: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ +00052770: 2073 7973 6c6f 672d 6e67 0a20 2020 2020   syslog-ng.     
│ │ │ +00052780: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ +00052790: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ +000527a0: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ +000527b0: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ +000527c0: 3a0a 2020 2020 2d20 2722 7379 736c 6f67  :.    - '"syslog
│ │ │ +000527d0: 2d6e 6722 2069 6e20 616e 7369 626c 655f  -ng" in ansible_
│ │ │ +000527e0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +000527f0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +00052800: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +00052810: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +00052820: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00052830: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ +00052840: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00052850: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00052860: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00052870: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00052880: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00052890: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +000528a0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +000528b0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +000528c0: 7365 7276 6963 655f 7379 736c 6f67 6e67  service_syslogng
│ │ │ +000528d0: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +000528e0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +000528f0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00052900: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00052910: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00052920: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00052930: 3037 3839 2220 7461 6269 6e64 6578 3d22  0789" tabindex="
│ │ │ +00052940: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00052950: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00052960: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00052970: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00052980: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00052990: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +000529a0: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +000529b0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +000529c0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +000529d0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +000529e0: 2220 6964 3d22 6964 6d31 3037 3839 223e  " id="idm10789">
│ │ │ +000529f0: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ +00052a00: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ +00052a10: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ +00052a20: 5b22 7379 736c 6f67 2d6e 6722 5d0a 3c2f  ["syslog-ng"].</
│ │ │ +00052a30: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00052a40: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00052a50: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00052a60: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00052a70: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00052a80: 2369 646d 3130 3739 3022 2074 6162 696e  #idm10790" tabin
│ │ │ +00052a90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00052aa0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00052ab0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00052ac0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00052ad0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00052ae0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00052af0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00052b00: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00052b10: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00052b20: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00052b30: 6964 6d31 3037 3930 223e 3c74 6162 6c65  idm10790"><table
│ │ │ +00052b40: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00052b50: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00052b60: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00052b70: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00052b80: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00052b90: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00052ba0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00052bb0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00052bc0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00052bd0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00052be0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00052bf0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00052c00: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00052c10: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00052c20: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00052c30: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ +00052c40: 5f73 7973 6c6f 672d 6e67 0a0a 636c 6173  _syslog-ng..clas
│ │ │ +00052c50: 7320 656e 6162 6c65 5f73 7973 6c6f 672d  s enable_syslog-
│ │ │ +00052c60: 6e67 207b 0a20 2073 6572 7669 6365 207b  ng {.  service {
│ │ │ +00052c70: 2773 7973 6c6f 672d 6e67 273a 0a20 2020  'syslog-ng':.   
│ │ │ +00052c80: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ +00052c90: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ +00052ca0: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ +00052cb0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  00052cc0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  00052cd0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  00052ce0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00052cf0: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  00052d00: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  00052d10: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  00052d20: 7275 6c65 5f70 6163 6b61 6765 5f72 7379  rule_package_rsy
│ │ │ @@ -21405,179 +21405,179 @@
│ │ │  000539c0: 6172 6765 743d 2223 6964 6d31 3031 3134  arget="#idm10114
│ │ │  000539d0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  000539e0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  000539f0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  00053a00: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  00053a10: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  00053a20: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00053a30: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -00053a40: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -00053a50: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00053a60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00053a70: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00053a80: 3d22 6964 6d31 3031 3134 223e 3c70 7265  ="idm10114"><pre
│ │ │ -00053a90: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -00053aa0: 6573 5d5d 0a6e 616d 6520 3d20 2272 7379  es]].name = "rsy
│ │ │ -00053ab0: 736c 6f67 220a 7665 7273 696f 6e20 3d20  slog".version = 
│ │ │ -00053ac0: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ -00053ad0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00053ae0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00053af0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00053b00: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00053b10: 7267 6574 3d22 2369 646d 3130 3131 3522  rget="#idm10115"
│ │ │ -00053b20: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00053b30: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00053b40: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00053b50: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00053b60: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00053b70: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00053b80: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00053b90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00053ba0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00053bb0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00053bc0: 2220 6964 3d22 6964 6d31 3031 3135 223e  " id="idm10115">
│ │ │ -00053bd0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00053be0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00053bf0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00053c00: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00053c10: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00053c20: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00053c30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00053c40: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00053c50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00053c60: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00053c70: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00053c80: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00053c90: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00053ca0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00053cb0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00053cc0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00053cd0: 696e 7374 616c 6c5f 7273 7973 6c6f 670a  install_rsyslog.
│ │ │ -00053ce0: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f72  .class install_r
│ │ │ -00053cf0: 7379 736c 6f67 207b 0a20 2070 6163 6b61  syslog {.  packa
│ │ │ -00053d00: 6765 207b 2027 7273 7973 6c6f 6727 3a0a  ge { 'rsyslog':.
│ │ │ -00053d10: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00053d20: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -00053d30: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00053d40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00053d50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00053d60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00053d70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00053d80: 7267 6574 3d22 2369 646d 3130 3131 3622  rget="#idm10116"
│ │ │ -00053d90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00053da0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00053db0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00053dc0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00053dd0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00053de0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00053df0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00053e00: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00053e10: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00053e20: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00053e30: 6522 2069 643d 2269 646d 3130 3131 3622  e" id="idm10116"
│ │ │ -00053e40: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00053e50: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00053e60: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00053e70: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00053e80: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00053e90: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00053ea0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00053eb0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00053ec0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00053ed0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00053ee0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00053ef0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00053f00: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00053f10: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00053f20: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00053f30: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00053f40: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00053f50: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00053f60: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00053f70: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00053f80: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00053f90: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00053fa0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00053fb0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00053fc0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00053fd0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00053fe0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00053ff0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00054000: 2020 2d20 7061 636b 6167 655f 7273 7973    - package_rsys
│ │ │ -00054010: 6c6f 675f 696e 7374 616c 6c65 640a 0a2d  log_installed..-
│ │ │ -00054020: 206e 616d 653a 2045 6e73 7572 6520 7273   name: Ensure rs
│ │ │ -00054030: 7973 6c6f 6720 6973 2069 6e73 7461 6c6c  yslog is install
│ │ │ -00054040: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00054050: 2020 6e61 6d65 3a20 7273 7973 6c6f 670a    name: rsyslog.
│ │ │ -00054060: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ -00054070: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ -00054080: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -00054090: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000540a0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ -000540b0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000540c0: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -000540d0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -000540e0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -000540f0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00054100: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00054110: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00054120: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00054130: 6765 5f72 7379 736c 6f67 5f69 6e73 7461  ge_rsyslog_insta
│ │ │ -00054140: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ -00054150: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00054160: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00054170: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00054180: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00054190: 6172 6765 743d 2223 6964 6d31 3031 3137  arget="#idm10117
│ │ │ -000541a0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000541b0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000541c0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000541d0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000541e0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000541f0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00054200: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -00054210: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00054220: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00054230: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00054240: 2069 643d 2269 646d 3130 3131 3722 3e3c   id="idm10117"><
│ │ │ -00054250: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00054260: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00054270: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00054280: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00054290: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -000542a0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -000542b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000542c0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -000542d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000542e0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000542f0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00054300: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00054310: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00054320: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -00054330: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00054340: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ -00054350: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ -00054360: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ -00054370: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ -00054380: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ -00054390: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ -000543a0: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ -000543b0: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ -000543c0: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ -000543d0: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ -000543e0: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ -000543f0: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ -00054400: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ -00054410: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ -00054420: 2272 7379 736c 6f67 220a 0a65 6c73 650a  "rsyslog"..else.
│ │ │ -00054430: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -00054440: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -00054450: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -00054460: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -00054470: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +00053a30: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +00053a40: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00053a50: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00053a60: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00053a70: 7365 2220 6964 3d22 6964 6d31 3031 3134  se" id="idm10114
│ │ │ +00053a80: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00053a90: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00053aa0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00053ab0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00053ac0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00053ad0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00053ae0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00053af0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00053b00: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00053b10: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00053b20: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00053b30: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00053b40: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00053b50: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00053b60: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00053b70: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00053b80: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +00053b90: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +00053ba0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00053bb0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +00053bc0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +00053bd0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00053be0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00053bf0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00053c00: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00053c10: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00053c20: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00053c30: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00053c40: 0a20 202d 2070 6163 6b61 6765 5f72 7379  .  - package_rsy
│ │ │ +00053c50: 736c 6f67 5f69 6e73 7461 6c6c 6564 0a0a  slog_installed..
│ │ │ +00053c60: 2d20 6e61 6d65 3a20 456e 7375 7265 2072  - name: Ensure r
│ │ │ +00053c70: 7379 736c 6f67 2069 7320 696e 7374 616c  syslog is instal
│ │ │ +00053c80: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ +00053c90: 2020 206e 616d 653a 2072 7379 736c 6f67     name: rsyslog
│ │ │ +00053ca0: 0a20 2020 2073 7461 7465 3a20 7072 6573  .    state: pres
│ │ │ +00053cb0: 656e 740a 2020 7768 656e 3a20 2722 6c69  ent.  when: '"li
│ │ │ +00053cc0: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ +00053cd0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +00053ce0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +00053cf0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00053d00: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ +00053d10: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00053d20: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00053d30: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00053d40: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +00053d50: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00053d60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00053d70: 6167 655f 7273 7973 6c6f 675f 696e 7374  age_rsyslog_inst
│ │ │ +00053d80: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00053d90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00053da0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00053db0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00053dc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00053dd0: 7461 7267 6574 3d22 2369 646d 3130 3131  target="#idm1011
│ │ │ +00053de0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │ +00053df0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00053e00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00053e10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00053e20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00053e30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00053e40: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +00053e50: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00053e60: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00053e70: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00053e80: 2220 6964 3d22 6964 6d31 3031 3135 223e  " id="idm10115">
│ │ │ +00053e90: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00053ea0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00053eb0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00053ec0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00053ed0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00053ee0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00053ef0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00053f00: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00053f10: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00053f20: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00053f30: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00053f40: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00053f50: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00053f60: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00053f70: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00053f80: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ +00053f90: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ +00053fa0: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ +00053fb0: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ +00053fc0: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ +00053fd0: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ +00053fe0: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ +00053ff0: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ +00054000: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ +00054010: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ +00054020: 7374 616c 6c65 643b 2074 6865 6e0a 0a44  stalled; then..D
│ │ │ +00054030: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +00054040: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +00054050: 742d 6765 7420 696e 7374 616c 6c20 2d79  t-get install -y
│ │ │ +00054060: 2022 7273 7973 6c6f 6722 0a0a 656c 7365   "rsyslog"..else
│ │ │ +00054070: 0a20 2020 2026 6774 3b26 616d 703b 3220  .    &gt;&amp;2 
│ │ │ +00054080: 6563 686f 2027 5265 6d65 6469 6174 696f  echo 'Remediatio
│ │ │ +00054090: 6e20 6973 206e 6f74 2061 7070 6c69 6361  n is not applica
│ │ │ +000540a0: 626c 652c 206e 6f74 6869 6e67 2077 6173  ble, nothing was
│ │ │ +000540b0: 2064 6f6e 6527 0a66 690a 3c2f 636f 6465   done'.fi.</code
│ │ │ +000540c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +000540d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +000540e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +000540f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00054100: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00054110: 3130 3131 3622 2074 6162 696e 6465 783d  10116" tabindex=
│ │ │ +00054120: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00054130: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00054140: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00054150: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00054160: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00054170: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +00054180: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +00054190: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000541a0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000541b0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000541c0: 6522 2069 643d 2269 646d 3130 3131 3622  e" id="idm10116"
│ │ │ +000541d0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +000541e0: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +000541f0: 2022 7273 7973 6c6f 6722 0a76 6572 7369   "rsyslog".versi
│ │ │ +00054200: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ +00054210: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00054220: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00054230: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00054240: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00054250: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00054260: 3031 3137 2220 7461 6269 6e64 6578 3d22  0117" tabindex="
│ │ │ +00054270: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00054280: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00054290: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +000542a0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +000542b0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +000542c0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +000542d0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000542e0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000542f0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00054300: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00054310: 3131 3722 3e3c 7461 626c 6520 636c 6173  117"><table clas
│ │ │ +00054320: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00054330: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00054340: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00054350: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00054360: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00054370: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00054380: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00054390: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +000543a0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000543b0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +000543c0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +000543d0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +000543e0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +000543f0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00054400: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00054410: 6c75 6465 2069 6e73 7461 6c6c 5f72 7379  lude install_rsy
│ │ │ +00054420: 736c 6f67 0a0a 636c 6173 7320 696e 7374  slog..class inst
│ │ │ +00054430: 616c 6c5f 7273 7973 6c6f 6720 7b0a 2020  all_rsyslog {.  
│ │ │ +00054440: 7061 636b 6167 6520 7b20 2772 7379 736c  package { 'rsysl
│ │ │ +00054450: 6f67 273a 0a20 2020 2065 6e73 7572 6520  og':.    ensure 
│ │ │ +00054460: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +00054470: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00054480: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00054490: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  000544a0: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  000544b0: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  000544c0: 742d 6964 3d22 7863 6364 665f 6f72 672e  t-id="xccdf_org.
│ │ │  000544d0: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │  000544e0: 6e74 5f72 756c 655f 7365 7276 6963 655f  nt_rule_service_
│ │ │ @@ -21806,150 +21806,150 @@
│ │ │  000552d0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  000552e0: 3032 3030 2220 7461 6269 6e64 6578 3d22  0200" tabindex="
│ │ │  000552f0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00055300: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00055310: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00055320: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00055330: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00055340: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -00055350: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -00055360: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00055370: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00055380: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00055390: 2220 6964 3d22 6964 6d31 3032 3030 223e  " id="idm10200">
│ │ │ -000553a0: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ -000553b0: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ -000553c0: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ -000553d0: 5b22 7273 7973 6c6f 6722 5d0a 3c2f 636f  ["rsyslog"].</co
│ │ │ -000553e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000553f0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00055400: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00055410: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00055420: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00055430: 646d 3130 3230 3122 2074 6162 696e 6465  dm10201" tabinde
│ │ │ -00055440: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00055450: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00055460: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00055470: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00055480: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00055490: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -000554a0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000554b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000554c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000554d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000554e0: 6d31 3032 3031 223e 3c74 6162 6c65 2063  m10201"><table c
│ │ │ -000554f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00055500: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00055510: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00055520: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00055530: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00055540: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00055550: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00055560: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00055570: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00055580: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00055590: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000555a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000555b0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000555c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000555d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000555e0: 696e 636c 7564 6520 656e 6162 6c65 5f72  include enable_r
│ │ │ -000555f0: 7379 736c 6f67 0a0a 636c 6173 7320 656e  syslog..class en
│ │ │ -00055600: 6162 6c65 5f72 7379 736c 6f67 207b 0a20  able_rsyslog {. 
│ │ │ -00055610: 2073 6572 7669 6365 207b 2772 7379 736c   service {'rsysl
│ │ │ -00055620: 6f67 273a 0a20 2020 2065 6e61 626c 6520  og':.    enable 
│ │ │ -00055630: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00055640: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00055650: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00055660: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00055670: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00055680: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00055690: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -000556a0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -000556b0: 2369 646d 3130 3230 3222 2074 6162 696e  #idm10202" tabin
│ │ │ -000556c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000556d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000556e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000556f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00055700: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00055710: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00055720: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00055730: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00055740: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00055750: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00055760: 2269 646d 3130 3230 3222 3e3c 7461 626c  "idm10202"><tabl
│ │ │ -00055770: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00055780: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00055790: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -000557a0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -000557b0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -000557c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000557d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000557e0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000557f0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00055800: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00055810: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00055820: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00055830: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00055840: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00055850: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00055860: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00055870: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00055880: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00055890: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -000558a0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -000558b0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -000558c0: 552d 3428 3129 0a20 202d 204e 4953 542d  U-4(1).  - NIST-
│ │ │ -000558d0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -000558e0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -000558f0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00055900: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00055910: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00055920: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00055930: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00055940: 640a 2020 2d20 7365 7276 6963 655f 7273  d.  - service_rs
│ │ │ -00055950: 7973 6c6f 675f 656e 6162 6c65 640a 0a2d  yslog_enabled..-
│ │ │ -00055960: 206e 616d 653a 2045 6e61 626c 6520 7273   name: Enable rs
│ │ │ -00055970: 7973 6c6f 6720 5365 7276 6963 6520 2d20  yslog Service - 
│ │ │ -00055980: 456e 6162 6c65 2073 6572 7669 6365 2072  Enable service r
│ │ │ -00055990: 7379 736c 6f67 0a20 2062 6c6f 636b 3a0a  syslog.  block:.
│ │ │ -000559a0: 0a20 202d 206e 616d 653a 2047 6174 6865  .  - name: Gathe
│ │ │ -000559b0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -000559c0: 6374 730a 2020 2020 7061 636b 6167 655f  cts.    package_
│ │ │ -000559d0: 6661 6374 733a 0a20 2020 2020 206d 616e  facts:.      man
│ │ │ -000559e0: 6167 6572 3a20 6175 746f 0a0a 2020 2d20  ager: auto..  - 
│ │ │ -000559f0: 6e61 6d65 3a20 456e 6162 6c65 2072 7379  name: Enable rsy
│ │ │ -00055a00: 736c 6f67 2053 6572 7669 6365 202d 2045  slog Service - E
│ │ │ -00055a10: 6e61 626c 6520 5365 7276 6963 6520 7273  nable Service rs
│ │ │ -00055a20: 7973 6c6f 670a 2020 2020 616e 7369 626c  yslog.    ansibl
│ │ │ -00055a30: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ -00055a40: 643a 0a20 2020 2020 206e 616d 653a 2072  d:.      name: r
│ │ │ -00055a50: 7379 736c 6f67 0a20 2020 2020 2065 6e61  syslog.      ena
│ │ │ -00055a60: 626c 6564 3a20 7472 7565 0a20 2020 2020  bled: true.     
│ │ │ -00055a70: 2073 7461 7465 3a20 7374 6172 7465 640a   state: started.
│ │ │ -00055a80: 2020 2020 2020 6d61 736b 6564 3a20 6661        masked: fa
│ │ │ -00055a90: 6c73 650a 2020 2020 7768 656e 3a0a 2020  lse.    when:.  
│ │ │ -00055aa0: 2020 2d20 2722 7273 7973 6c6f 6722 2069    - '"rsyslog" i
│ │ │ -00055ab0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -00055ac0: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ -00055ad0: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00055ae0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00055af0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00055b00: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00055b10: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -00055b20: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00055b30: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -00055b40: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00055b50: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00055b60: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00055b70: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -00055b80: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00055b90: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -00055ba0: 655f 7273 7973 6c6f 675f 656e 6162 6c65  e_rsyslog_enable
│ │ │ -00055bb0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00055340: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00055350: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00055360: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00055370: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00055380: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00055390: 3032 3030 223e 3c74 6162 6c65 2063 6c61  0200"><table cla
│ │ │ +000553a0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000553b0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000553c0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000553d0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +000553e0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +000553f0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00055400: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00055410: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00055420: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00055430: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00055440: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00055450: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00055460: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00055470: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00055480: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00055490: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +000554a0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +000554b0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +000554c0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +000554d0: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +000554e0: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ +000554f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +00055500: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +00055510: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00055520: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00055530: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00055540: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00055550: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00055560: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00055570: 2073 6572 7669 6365 5f72 7379 736c 6f67   service_rsyslog
│ │ │ +00055580: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ +00055590: 3a20 456e 6162 6c65 2072 7379 736c 6f67  : Enable rsyslog
│ │ │ +000555a0: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ +000555b0: 6520 7365 7276 6963 6520 7273 7973 6c6f  e service rsyslo
│ │ │ +000555c0: 670a 2020 626c 6f63 6b3a 0a0a 2020 2d20  g.  block:..  - 
│ │ │ +000555d0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +000555e0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +000555f0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +00055600: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +00055610: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +00055620: 2045 6e61 626c 6520 7273 7973 6c6f 6720   Enable rsyslog 
│ │ │ +00055630: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +00055640: 2053 6572 7669 6365 2072 7379 736c 6f67   Service rsyslog
│ │ │ +00055650: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ +00055660: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ +00055670: 2020 2020 6e61 6d65 3a20 7273 7973 6c6f      name: rsyslo
│ │ │ +00055680: 670a 2020 2020 2020 656e 6162 6c65 643a  g.      enabled:
│ │ │ +00055690: 2074 7275 650a 2020 2020 2020 7374 6174   true.      stat
│ │ │ +000556a0: 653a 2073 7461 7274 6564 0a20 2020 2020  e: started.     
│ │ │ +000556b0: 206d 6173 6b65 643a 2066 616c 7365 0a20   masked: false. 
│ │ │ +000556c0: 2020 2077 6865 6e3a 0a20 2020 202d 2027     when:.    - '
│ │ │ +000556d0: 2272 7379 736c 6f67 2220 696e 2061 6e73  "rsyslog" in ans
│ │ │ +000556e0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +000556f0: 6765 7327 0a20 2077 6865 6e3a 2027 226c  ges'.  when: '"l
│ │ │ +00055700: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +00055710: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00055720: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00055730: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00055740: 2d34 2831 290a 2020 2d20 4e49 5354 2d38  -4(1).  - NIST-8
│ │ │ +00055750: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00055760: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00055770: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00055780: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00055790: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +000557a0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +000557b0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +000557c0: 0a20 202d 2073 6572 7669 6365 5f72 7379  .  - service_rsy
│ │ │ +000557d0: 736c 6f67 5f65 6e61 626c 6564 0a3c 2f63  slog_enabled.</c
│ │ │ +000557e0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000557f0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00055800: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00055810: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00055820: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00055830: 6964 6d31 3032 3031 2220 7461 6269 6e64  idm10201" tabind
│ │ │ +00055840: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00055850: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00055860: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00055870: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00055880: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00055890: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +000558a0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +000558b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000558c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000558d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000558e0: 6170 7365 2220 6964 3d22 6964 6d31 3032  apse" id="idm102
│ │ │ +000558f0: 3031 223e 3c70 7265 3e3c 636f 6465 3e0a  01"><pre><code>.
│ │ │ +00055900: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ +00055910: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ +00055920: 6420 3d20 5b22 7273 7973 6c6f 6722 5d0a  d = ["rsyslog"].
│ │ │ +00055930: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00055940: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00055950: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00055960: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00055970: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00055980: 3d22 2369 646d 3130 3230 3222 2074 6162  ="#idm10202" tab
│ │ │ +00055990: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +000559a0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +000559b0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000559c0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000559d0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000559e0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +000559f0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00055a00: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00055a10: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00055a20: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00055a30: 3d22 6964 6d31 3032 3032 223e 3c74 6162  ="idm10202"><tab
│ │ │ +00055a40: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00055a50: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00055a60: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00055a70: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00055a80: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00055a90: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00055aa0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00055ab0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00055ac0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00055ad0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00055ae0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00055af0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00055b00: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00055b10: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00055b20: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00055b30: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ +00055b40: 6c65 5f72 7379 736c 6f67 0a0a 636c 6173  le_rsyslog..clas
│ │ │ +00055b50: 7320 656e 6162 6c65 5f72 7379 736c 6f67  s enable_rsyslog
│ │ │ +00055b60: 207b 0a20 2073 6572 7669 6365 207b 2772   {.  service {'r
│ │ │ +00055b70: 7379 736c 6f67 273a 0a20 2020 2065 6e61  syslog':.    ena
│ │ │ +00055b80: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ +00055b90: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00055ba0: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ +00055bb0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00055bc0: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00055bd0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00055be0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00055bf0: 7472 2064 6174 612d 7474 2d69 643d 2263  tr data-tt-id="c
│ │ │  00055c00: 6869 6c64 7265 6e2d 7863 6364 665f 6f72  hildren-xccdf_or
│ │ │  00055c10: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  00055c20: 7465 6e74 5f67 726f 7570 5f70 6572 6d69  tent_group_permi
│ │ │ @@ -29887,182 +29887,182 @@
│ │ │  00074be0: 7267 6574 3d22 2369 646d 3139 3434 3622  rget="#idm19446"
│ │ │  00074bf0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00074c00: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00074c10: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00074c20: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00074c30: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00074c40: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00074c50: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00074c60: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00074c70: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00074c80: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00074c90: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00074ca0: 2269 646d 3139 3434 3622 3e3c 7072 653e  "idm19446"><pre>
│ │ │ -00074cb0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ -00074cc0: 735d 5d0a 6e61 6d65 203d 2022 6372 6f6e  s]].name = "cron
│ │ │ -00074cd0: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ -00074ce0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00074cf0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00074d00: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00074d10: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00074d20: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00074d30: 3d22 2369 646d 3139 3434 3722 2074 6162  ="#idm19447" tab
│ │ │ -00074d40: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00074d50: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00074d60: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00074d70: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00074d80: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00074d90: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -00074da0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -00074db0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00074dc0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00074dd0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00074de0: 3d22 6964 6d31 3934 3437 223e 3c74 6162  ="idm19447"><tab
│ │ │ -00074df0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00074e00: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00074e10: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00074e20: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00074e30: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00074e40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00074e50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00074e60: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00074e70: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00074e80: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00074e90: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00074ea0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00074eb0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00074ec0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00074ed0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00074ee0: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -00074ef0: 616c 6c5f 6372 6f6e 0a0a 636c 6173 7320  all_cron..class 
│ │ │ -00074f00: 696e 7374 616c 6c5f 6372 6f6e 207b 0a20  install_cron {. 
│ │ │ -00074f10: 2070 6163 6b61 6765 207b 2027 6372 6f6e   package { 'cron
│ │ │ -00074f20: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00074f30: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -00074f40: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -00074f50: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00074f60: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00074f70: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00074f80: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00074f90: 2d74 6172 6765 743d 2223 6964 6d31 3934  -target="#idm194
│ │ │ -00074fa0: 3438 2220 7461 6269 6e64 6578 3d22 3022  48" tabindex="0"
│ │ │ -00074fb0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00074fc0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00074fd0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00074fe0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00074ff0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00075000: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -00075010: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00075020: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00075030: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00075040: 6170 7365 2220 6964 3d22 6964 6d31 3934  apse" id="idm194
│ │ │ -00075050: 3438 223e 3c74 6162 6c65 2063 6c61 7373  48"><table class
│ │ │ -00075060: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00075070: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00075080: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00075090: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -000750a0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -000750b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000750c0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -000750d0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -000750e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000750f0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00075100: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00075110: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00075120: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -00075130: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00075140: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -00075150: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -00075160: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -00075170: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -00075180: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -00075190: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -000751a0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -000751b0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -000751c0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -000751d0: 322e 322e 360a 2020 2d20 656e 6162 6c65  2.2.6.  - enable
│ │ │ -000751e0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -000751f0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00075200: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00075210: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00075220: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00075230: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00075240: 6b61 6765 5f63 726f 6e5f 696e 7374 616c  kage_cron_instal
│ │ │ -00075250: 6c65 640a 0a2d 206e 616d 653a 2045 6e73  led..- name: Ens
│ │ │ -00075260: 7572 6520 6372 6f6e 2069 7320 696e 7374  ure cron is inst
│ │ │ -00075270: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ -00075280: 0a20 2020 206e 616d 653a 2063 726f 6e0a  .    name: cron.
│ │ │ -00075290: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ -000752a0: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ -000752b0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -000752c0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000752d0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ -000752e0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000752f0: 2861 290a 2020 2d20 5043 492d 4453 5376  (a).  - PCI-DSSv
│ │ │ -00075300: 342d 322e 320a 2020 2d20 5043 492d 4453  4-2.2.  - PCI-DS
│ │ │ -00075310: 5376 342d 322e 322e 360a 2020 2d20 656e  Sv4-2.2.6.  - en
│ │ │ -00075320: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00075330: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00075340: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00075350: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00075360: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00075370: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00075380: 2070 6163 6b61 6765 5f63 726f 6e5f 696e   package_cron_in
│ │ │ -00075390: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ -000753a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000753b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000753c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000753d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000753e0: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ -000753f0: 3434 3922 2074 6162 696e 6465 783d 2230  449" tabindex="0
│ │ │ -00075400: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00075410: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00075420: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00075430: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00075440: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00075450: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ -00075460: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ -00075470: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00075480: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00075490: 7365 2220 6964 3d22 6964 6d31 3934 3439  se" id="idm19449
│ │ │ -000754a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000754b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000754c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000754d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000754e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000754f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00075500: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00075510: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00075520: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00075530: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00075540: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00075550: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00075560: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00075570: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00075580: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00075590: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ -000755a0: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ -000755b0: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ -000755c0: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ -000755d0: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ -000755e0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ -000755f0: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ -00075600: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ -00075610: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ -00075620: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ -00075630: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ -00075640: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ -00075650: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ -00075660: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ -00075670: 2d79 2022 6372 6f6e 220a 0a65 6c73 650a  -y "cron"..else.
│ │ │ -00075680: 2020 2020 2667 743b 2661 6d70 3b32 2065      &gt;&amp;2 e
│ │ │ -00075690: 6368 6f20 2752 656d 6564 6961 7469 6f6e  cho 'Remediation
│ │ │ -000756a0: 2069 7320 6e6f 7420 6170 706c 6963 6162   is not applicab
│ │ │ -000756b0: 6c65 2c20 6e6f 7468 696e 6720 7761 7320  le, nothing was 
│ │ │ -000756c0: 646f 6e65 270a 6669 0a3c 2f63 6f64 653e  done'.fi.</code>
│ │ │ +00074c50: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00074c60: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00074c70: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00074c80: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00074c90: 6522 2069 643d 2269 646d 3139 3434 3622  e" id="idm19446"
│ │ │ +00074ca0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00074cb0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00074cc0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00074cd0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00074ce0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00074cf0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00074d00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00074d10: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00074d20: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00074d30: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00074d40: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00074d50: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00074d60: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00074d70: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00074d80: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00074d90: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00074da0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00074db0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00074dc0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00074dd0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00074de0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00074df0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00074e00: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00074e10: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00074e20: 2e36 0a20 202d 2065 6e61 626c 655f 7374  .6.  - enable_st
│ │ │ +00074e30: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00074e40: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00074e50: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00074e60: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00074e70: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00074e80: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00074e90: 655f 6372 6f6e 5f69 6e73 7461 6c6c 6564  e_cron_installed
│ │ │ +00074ea0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ +00074eb0: 2063 726f 6e20 6973 2069 6e73 7461 6c6c   cron is install
│ │ │ +00074ec0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00074ed0: 2020 6e61 6d65 3a20 6372 6f6e 0a20 2020    name: cron.   
│ │ │ +00074ee0: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ +00074ef0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +00074f00: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +00074f10: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +00074f20: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00074f30: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00074f40: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +00074f50: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ +00074f60: 2d32 2e32 2e36 0a20 202d 2065 6e61 626c  -2.2.6.  - enabl
│ │ │ +00074f70: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00074f80: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00074f90: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00074fa0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00074fb0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00074fc0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00074fd0: 636b 6167 655f 6372 6f6e 5f69 6e73 7461  ckage_cron_insta
│ │ │ +00074fe0: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +00074ff0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00075000: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00075010: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00075020: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00075030: 6172 6765 743d 2223 6964 6d31 3934 3437  arget="#idm19447
│ │ │ +00075040: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00075050: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00075060: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00075070: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00075080: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00075090: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000750a0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ +000750b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +000750c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +000750d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +000750e0: 2069 643d 2269 646d 3139 3434 3722 3e3c   id="idm19447"><
│ │ │ +000750f0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00075100: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00075110: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00075120: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00075130: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00075140: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00075150: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00075160: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00075170: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00075180: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00075190: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +000751a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000751b0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +000751c0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +000751d0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +000751e0: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ +000751f0: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ +00075200: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ +00075210: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ +00075220: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ +00075230: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ +00075240: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ +00075250: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ +00075260: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ +00075270: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ +00075280: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ +00075290: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +000752a0: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +000752b0: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ +000752c0: 2263 726f 6e22 0a0a 656c 7365 0a20 2020  "cron"..else.   
│ │ │ +000752d0: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ +000752e0: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ +000752f0: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ +00075300: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ +00075310: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +00075320: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00075330: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00075340: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00075350: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00075360: 7461 7267 6574 3d22 2369 646d 3139 3434  target="#idm1944
│ │ │ +00075370: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ +00075380: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00075390: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +000753a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +000753b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +000753c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +000753d0: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +000753e0: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +000753f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00075400: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00075410: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00075420: 643d 2269 646d 3139 3434 3822 3e3c 7072  d="idm19448"><pr
│ │ │ +00075430: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ +00075440: 6765 735d 5d0a 6e61 6d65 203d 2022 6372  ges]].name = "cr
│ │ │ +00075450: 6f6e 220a 7665 7273 696f 6e20 3d20 222a  on".version = "*
│ │ │ +00075460: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ +00075470: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00075480: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00075490: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +000754a0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +000754b0: 6574 3d22 2369 646d 3139 3434 3922 2074  et="#idm19449" t
│ │ │ +000754c0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +000754d0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +000754e0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +000754f0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00075500: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00075510: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00075520: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +00075530: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00075540: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00075550: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00075560: 6964 3d22 6964 6d31 3934 3439 223e 3c74  id="idm19449"><t
│ │ │ +00075570: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00075580: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00075590: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +000755a0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +000755b0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +000755c0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +000755d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000755e0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +000755f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00075600: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00075610: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00075620: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00075630: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00075640: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00075650: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00075660: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +00075670: 7374 616c 6c5f 6372 6f6e 0a0a 636c 6173  stall_cron..clas
│ │ │ +00075680: 7320 696e 7374 616c 6c5f 6372 6f6e 207b  s install_cron {
│ │ │ +00075690: 0a20 2070 6163 6b61 6765 207b 2027 6372  .  package { 'cr
│ │ │ +000756a0: 6f6e 273a 0a20 2020 2065 6e73 7572 6520  on':.    ensure 
│ │ │ +000756b0: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +000756c0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  000756d0: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  000756e0: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  000756f0: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00075700: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00075710: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  00075720: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00075730: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -30342,147 +30342,147 @@
│ │ │  00076850: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00076860: 3139 3633 3722 2074 6162 696e 6465 783d  19637" tabindex=
│ │ │  00076870: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  00076880: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  00076890: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  000768a0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  000768b0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -000768c0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -000768d0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -000768e0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -000768f0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00076900: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00076910: 3936 3337 223e 3c74 6162 6c65 2063 6c61  9637"><table cla
│ │ │ -00076920: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00076930: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00076940: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00076950: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00076960: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00076970: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00076980: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00076990: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -000769a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000769b0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -000769c0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -000769d0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -000769e0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -000769f0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00076a00: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -00076a10: 6e63 6c75 6465 2072 656d 6f76 655f 696e  nclude remove_in
│ │ │ -00076a20: 6574 7574 696c 732d 7465 6c6e 6574 640a  etutils-telnetd.
│ │ │ -00076a30: 0a63 6c61 7373 2072 656d 6f76 655f 696e  .class remove_in
│ │ │ -00076a40: 6574 7574 696c 732d 7465 6c6e 6574 6420  etutils-telnetd 
│ │ │ -00076a50: 7b0a 2020 7061 636b 6167 6520 7b20 2769  {.  package { 'i
│ │ │ -00076a60: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -00076a70: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00076a80: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -00076a90: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00076aa0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00076ab0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00076ac0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00076ad0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00076ae0: 7267 6574 3d22 2369 646d 3139 3633 3822  rget="#idm19638"
│ │ │ -00076af0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00076b00: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00076b10: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00076b20: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00076b30: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00076b40: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00076b50: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00076b60: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00076b70: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00076b80: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00076b90: 6522 2069 643d 2269 646d 3139 3633 3822  e" id="idm19638"
│ │ │ -00076ba0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00076bb0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00076bc0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00076bd0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00076be0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00076bf0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00076c00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00076c10: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00076c20: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00076c30: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00076c40: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00076c50: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00076c60: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00076c70: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00076c80: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00076c90: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00076ca0: 3a20 456e 7375 7265 2069 6e65 7475 7469  : Ensure inetuti
│ │ │ -00076cb0: 6c73 2d74 656c 6e65 7464 2069 7320 7265  ls-telnetd is re
│ │ │ -00076cc0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -00076cd0: 0a20 2020 206e 616d 653a 2069 6e65 7475  .    name: inetu
│ │ │ -00076ce0: 7469 6c73 2d74 656c 6e65 7464 0a20 2020  tils-telnetd.   
│ │ │ -00076cf0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -00076d00: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00076d10: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00076d20: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00076d30: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ -00076d40: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ -00076d50: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ -00076d60: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -00076d70: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -00076d80: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00076d90: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00076da0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00076db0: 0a20 202d 2070 6163 6b61 6765 5f69 6e65  .  - package_ine
│ │ │ -00076dc0: 7475 7469 6c73 2d74 656c 6e65 7464 5f72  tutils-telnetd_r
│ │ │ -00076dd0: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ -00076de0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00076df0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00076e00: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00076e10: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00076e20: 2d74 6172 6765 743d 2223 6964 6d31 3936  -target="#idm196
│ │ │ -00076e30: 3339 2220 7461 6269 6e64 6578 3d22 3022  39" tabindex="0"
│ │ │ -00076e40: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00076e50: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00076e60: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00076e70: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00076e80: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00076e90: 6174 696f 6e20 5368 656c 6c20 7363 7269  ation Shell scri
│ │ │ -00076ea0: 7074 20e2 87b2 3c2f 613e 3c62 723e 3c64  pt ...</a><br><d
│ │ │ -00076eb0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00076ec0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00076ed0: 6522 2069 643d 2269 646d 3139 3633 3922  e" id="idm19639"
│ │ │ -00076ee0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00076ef0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00076f00: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00076f10: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00076f20: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00076f30: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00076f40: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00076f50: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00076f60: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00076f70: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00076f80: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00076f90: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00076fa0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00076fb0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00076fc0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00076fd0: 7072 653e 3c63 6f64 653e 0a23 2043 4155  pre><code>.# CAU
│ │ │ -00076fe0: 5449 4f4e 3a20 5468 6973 2072 656d 6564  TION: This remed
│ │ │ -00076ff0: 6961 7469 6f6e 2073 6372 6970 7420 7769  iation script wi
│ │ │ -00077000: 6c6c 2072 656d 6f76 6520 696e 6574 7574  ll remove inetut
│ │ │ -00077010: 696c 732d 7465 6c6e 6574 640a 2309 2020  ils-telnetd.#.  
│ │ │ -00077020: 2066 726f 6d20 7468 6520 7379 7374 656d   from the system
│ │ │ -00077030: 2c20 616e 6420 6d61 7920 7265 6d6f 7665  , and may remove
│ │ │ -00077040: 2061 6e79 2070 6163 6b61 6765 730a 2309   any packages.#.
│ │ │ -00077050: 2020 2074 6861 7420 6465 7065 6e64 206f     that depend o
│ │ │ -00077060: 6e20 696e 6574 7574 696c 732d 7465 6c6e  n inetutils-teln
│ │ │ -00077070: 6574 642e 2045 7865 6375 7465 2074 6869  etd. Execute thi
│ │ │ -00077080: 730a 2309 2020 2072 656d 6564 6961 7469  s.#.   remediati
│ │ │ -00077090: 6f6e 2041 4654 4552 2074 6573 7469 6e67  on AFTER testing
│ │ │ -000770a0: 206f 6e20 6120 6e6f 6e2d 7072 6f64 7563   on a non-produc
│ │ │ -000770b0: 7469 6f6e 0a23 0920 2020 7379 7374 656d  tion.#.   system
│ │ │ -000770c0: 210a 0a44 4542 4941 4e5f 4652 4f4e 5445  !..DEBIAN_FRONTE
│ │ │ -000770d0: 4e44 3d6e 6f6e 696e 7465 7261 6374 6976  ND=noninteractiv
│ │ │ -000770e0: 6520 6170 742d 6765 7420 7265 6d6f 7665  e apt-get remove
│ │ │ -000770f0: 202d 7920 2269 6e65 7475 7469 6c73 2d74   -y "inetutils-t
│ │ │ -00077100: 656c 6e65 7464 220a 3c2f 636f 6465 3e3c  elnetd".</code><
│ │ │ +000768c0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +000768d0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000768e0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000768f0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00076900: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00076910: 3139 3633 3722 3e3c 7461 626c 6520 636c  19637"><table cl
│ │ │ +00076920: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00076930: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00076940: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00076950: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00076960: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00076970: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00076980: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00076990: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000769a0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000769b0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +000769c0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000769d0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000769e0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +000769f0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00076a00: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00076a10: 2d20 6e61 6d65 3a20 456e 7375 7265 2069  - name: Ensure i
│ │ │ +00076a20: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ +00076a30: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +00076a40: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +00076a50: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ +00076a60: 7464 0a20 2020 2073 7461 7465 3a20 6162  td.    state: ab
│ │ │ +00076a70: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +00076a80: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00076a90: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +00076aa0: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ +00076ab0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00076ac0: 3728 6229 0a20 202d 2064 6973 6162 6c65  7(b).  - disable
│ │ │ +00076ad0: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ +00076ae0: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ +00076af0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00076b00: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00076b10: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ +00076b20: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00076b30: 6765 5f69 6e65 7475 7469 6c73 2d74 656c  ge_inetutils-tel
│ │ │ +00076b40: 6e65 7464 5f72 656d 6f76 6564 0a3c 2f63  netd_removed.</c
│ │ │ +00076b50: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00076b60: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00076b70: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00076b80: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00076b90: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00076ba0: 6964 6d31 3936 3338 2220 7461 6269 6e64  idm19638" tabind
│ │ │ +00076bb0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00076bc0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00076bd0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00076be0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00076bf0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00076c00: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ +00076c10: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ +00076c20: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00076c30: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00076c40: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00076c50: 3139 3633 3822 3e3c 7461 626c 6520 636c  19638"><table cl
│ │ │ +00076c60: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00076c70: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00076c80: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00076c90: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00076ca0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00076cb0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00076cc0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00076cd0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00076ce0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00076cf0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00076d00: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00076d10: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00076d20: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00076d30: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00076d40: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00076d50: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ +00076d60: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ +00076d70: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ +00076d80: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ +00076d90: 640a 2309 2020 2066 726f 6d20 7468 6520  d.#.   from the 
│ │ │ +00076da0: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ +00076db0: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ +00076dc0: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ +00076dd0: 7065 6e64 206f 6e20 696e 6574 7574 696c  pend on inetutil
│ │ │ +00076de0: 732d 7465 6c6e 6574 642e 2045 7865 6375  s-telnetd. Execu
│ │ │ +00076df0: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ +00076e00: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ +00076e10: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ +00076e20: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ +00076e30: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ +00076e40: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +00076e50: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +00076e60: 7265 6d6f 7665 202d 7920 2269 6e65 7475  remove -y "inetu
│ │ │ +00076e70: 7469 6c73 2d74 656c 6e65 7464 220a 3c2f  tils-telnetd".</
│ │ │ +00076e80: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00076e90: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00076ea0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00076eb0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00076ec0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00076ed0: 2369 646d 3139 3633 3922 2074 6162 696e  #idm19639" tabin
│ │ │ +00076ee0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00076ef0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00076f00: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00076f10: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00076f20: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00076f30: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00076f40: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00076f50: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00076f60: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00076f70: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00076f80: 6964 6d31 3936 3339 223e 3c74 6162 6c65  idm19639"><table
│ │ │ +00076f90: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00076fa0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00076fb0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00076fc0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00076fd0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00076fe0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00076ff0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00077000: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00077010: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00077020: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00077030: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00077040: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00077050: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00077060: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00077070: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00077080: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00077090: 655f 696e 6574 7574 696c 732d 7465 6c6e  e_inetutils-teln
│ │ │ +000770a0: 6574 640a 0a63 6c61 7373 2072 656d 6f76  etd..class remov
│ │ │ +000770b0: 655f 696e 6574 7574 696c 732d 7465 6c6e  e_inetutils-teln
│ │ │ +000770c0: 6574 6420 7b0a 2020 7061 636b 6167 6520  etd {.  package 
│ │ │ +000770d0: 7b20 2769 6e65 7475 7469 6c73 2d74 656c  { 'inetutils-tel
│ │ │ +000770e0: 6e65 7464 273a 0a20 2020 2065 6e73 7572  netd':.    ensur
│ │ │ +000770f0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +00077100: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00077110: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  00077120: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00077130: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00077140: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00077150: 2d69 643d 2278 6363 6466 5f6f 7267 2e73  -id="xccdf_org.s
│ │ │  00077160: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │  00077170: 745f 7275 6c65 5f70 6163 6b61 6765 5f6e  t_rule_package_n
│ │ │ @@ -30577,134 +30577,134 @@
│ │ │  00077700: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  00077710: 3936 3436 2220 7461 6269 6e64 6578 3d22  9646" tabindex="
│ │ │  00077720: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00077730: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00077740: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00077750: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00077760: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00077770: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00077780: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00077790: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000777a0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000777b0: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ -000777c0: 3634 3622 3e3c 7461 626c 6520 636c 6173  646"><table clas
│ │ │ -000777d0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -000777e0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -000777f0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00077800: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00077810: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00077820: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00077830: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00077840: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00077850: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00077860: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00077870: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00077880: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00077890: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -000778a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000778b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000778c0: 636c 7564 6520 7265 6d6f 7665 5f6e 6973  clude remove_nis
│ │ │ -000778d0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6e  ..class remove_n
│ │ │ -000778e0: 6973 207b 0a20 2070 6163 6b61 6765 207b  is {.  package {
│ │ │ -000778f0: 2027 6e69 7327 3a0a 2020 2020 656e 7375   'nis':.    ensu
│ │ │ -00077900: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00077910: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00077920: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077930: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077940: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077950: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077960: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -00077970: 3936 3437 2220 7461 6269 6e64 6578 3d22  9647" tabindex="
│ │ │ -00077980: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00077990: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -000779a0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -000779b0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -000779c0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -000779d0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -000779e0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -000779f0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077a00: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077a10: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00077a20: 3936 3437 223e 3c74 6162 6c65 2063 6c61  9647"><table cla
│ │ │ -00077a30: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00077a40: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00077a50: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00077a60: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00077a70: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00077a80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077a90: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077aa0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077ab0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077ac0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077ad0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077ae0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077af0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00077b00: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00077b10: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00077b20: 206e 616d 653a 2045 6e73 7572 6520 6e69   name: Ensure ni
│ │ │ -00077b30: 7320 6973 2072 656d 6f76 6564 0a20 2070  s is removed.  p
│ │ │ -00077b40: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00077b50: 3a20 6e69 730a 2020 2020 7374 6174 653a  : nis.    state:
│ │ │ -00077b60: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -00077b70: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00077b80: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00077b90: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00077ba0: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -00077bb0: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -00077bc0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00077bd0: 0a20 202d 2070 6163 6b61 6765 5f6e 6973  .  - package_nis
│ │ │ -00077be0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ -00077bf0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077c00: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077c10: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077c20: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077c30: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -00077c40: 3936 3438 2220 7461 6269 6e64 6578 3d22  9648" tabindex="
│ │ │ -00077c50: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00077c60: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00077c70: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00077c80: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00077c90: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00077ca0: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00077cb0: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00077cc0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00077cd0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00077ce0: 7073 6522 2069 643d 2269 646d 3139 3634  pse" id="idm1964
│ │ │ -00077cf0: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ -00077d00: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00077d10: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00077d20: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00077d30: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00077d40: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00077d50: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00077d60: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00077d70: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00077d80: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00077d90: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00077da0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00077db0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00077dc0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00077dd0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00077de0: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ -00077df0: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ -00077e00: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ -00077e10: 7769 6c6c 2072 656d 6f76 6520 6e69 730a  will remove nis.
│ │ │ -00077e20: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ -00077e30: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ -00077e40: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ -00077e50: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ -00077e60: 6e64 206f 6e20 6e69 732e 2045 7865 6375  nd on nis. Execu
│ │ │ -00077e70: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ -00077e80: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ -00077e90: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ -00077ea0: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ -00077eb0: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ -00077ec0: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -00077ed0: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -00077ee0: 7265 6d6f 7665 202d 7920 226e 6973 220a  remove -y "nis".
│ │ │ +00077770: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00077780: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00077790: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000777a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000777b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +000777c0: 3936 3436 223e 3c74 6162 6c65 2063 6c61  9646"><table cla
│ │ │ +000777d0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000777e0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000777f0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00077800: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00077810: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00077820: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00077830: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00077840: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00077850: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00077860: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00077870: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00077880: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00077890: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +000778a0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000778b0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +000778c0: 206e 616d 653a 2045 6e73 7572 6520 6e69   name: Ensure ni
│ │ │ +000778d0: 7320 6973 2072 656d 6f76 6564 0a20 2070  s is removed.  p
│ │ │ +000778e0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +000778f0: 3a20 6e69 730a 2020 2020 7374 6174 653a  : nis.    state:
│ │ │ +00077900: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +00077910: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00077920: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00077930: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00077940: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ +00077950: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ +00077960: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00077970: 0a20 202d 2070 6163 6b61 6765 5f6e 6973  .  - package_nis
│ │ │ +00077980: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00077990: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +000779a0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +000779b0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +000779c0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +000779d0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +000779e0: 3936 3437 2220 7461 6269 6e64 6578 3d22  9647" tabindex="
│ │ │ +000779f0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00077a00: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00077a10: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00077a20: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00077a30: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00077a40: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ +00077a50: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ +00077a60: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00077a70: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00077a80: 7073 6522 2069 643d 2269 646d 3139 3634  pse" id="idm1964
│ │ │ +00077a90: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +00077aa0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00077ab0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00077ac0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00077ad0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00077ae0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00077af0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00077b00: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00077b10: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00077b20: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00077b30: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00077b40: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00077b50: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00077b60: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00077b70: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00077b80: 3e3c 7072 653e 3c63 6f64 653e 0a23 2043  ><pre><code>.# C
│ │ │ +00077b90: 4155 5449 4f4e 3a20 5468 6973 2072 656d  AUTION: This rem
│ │ │ +00077ba0: 6564 6961 7469 6f6e 2073 6372 6970 7420  ediation script 
│ │ │ +00077bb0: 7769 6c6c 2072 656d 6f76 6520 6e69 730a  will remove nis.
│ │ │ +00077bc0: 2309 2020 2066 726f 6d20 7468 6520 7379  #.   from the sy
│ │ │ +00077bd0: 7374 656d 2c20 616e 6420 6d61 7920 7265  stem, and may re
│ │ │ +00077be0: 6d6f 7665 2061 6e79 2070 6163 6b61 6765  move any package
│ │ │ +00077bf0: 730a 2309 2020 2074 6861 7420 6465 7065  s.#.   that depe
│ │ │ +00077c00: 6e64 206f 6e20 6e69 732e 2045 7865 6375  nd on nis. Execu
│ │ │ +00077c10: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ +00077c20: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ +00077c30: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ +00077c40: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ +00077c50: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ +00077c60: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +00077c70: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +00077c80: 7265 6d6f 7665 202d 7920 226e 6973 220a  remove -y "nis".
│ │ │ +00077c90: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00077ca0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00077cb0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00077cc0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00077cd0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00077ce0: 3d22 2369 646d 3139 3634 3822 2074 6162  ="#idm19648" tab
│ │ │ +00077cf0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00077d00: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00077d10: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00077d20: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00077d30: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00077d40: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00077d50: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00077d60: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00077d70: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00077d80: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00077d90: 3d22 6964 6d31 3936 3438 223e 3c74 6162  ="idm19648"><tab
│ │ │ +00077da0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00077db0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00077dc0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00077dd0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00077de0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00077df0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00077e00: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00077e10: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00077e20: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00077e30: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00077e40: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00077e50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00077e60: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00077e70: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00077e80: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00077e90: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +00077ea0: 6f76 655f 6e69 730a 0a63 6c61 7373 2072  ove_nis..class r
│ │ │ +00077eb0: 656d 6f76 655f 6e69 7320 7b0a 2020 7061  emove_nis {.  pa
│ │ │ +00077ec0: 636b 6167 6520 7b20 276e 6973 273a 0a20  ckage { 'nis':. 
│ │ │ +00077ed0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +00077ee0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  00077ef0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00077f00: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00077f10: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00077f20: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00077f30: 2064 6174 612d 7474 2d69 643d 2278 6363   data-tt-id="xcc
│ │ │  00077f40: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  00077f50: 742e 636f 6e74 656e 745f 7275 6c65 5f70  t.content_rule_p
│ │ │ @@ -30801,136 +30801,136 @@
│ │ │  00078500: 6574 3d22 2369 646d 3139 3635 3522 2074  et="#idm19655" t
│ │ │  00078510: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00078520: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00078530: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00078540: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00078550: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00078560: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00078570: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00078580: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00078590: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -000785a0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -000785b0: 6964 3d22 6964 6d31 3936 3535 223e 3c74  id="idm19655"><t
│ │ │ -000785c0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -000785d0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000785e0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000785f0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00078600: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00078610: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00078620: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00078630: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00078640: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00078650: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00078660: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00078670: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00078680: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00078690: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -000786a0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000786b0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -000786c0: 656d 6f76 655f 6e74 7064 6174 650a 0a63  emove_ntpdate..c
│ │ │ -000786d0: 6c61 7373 2072 656d 6f76 655f 6e74 7064  lass remove_ntpd
│ │ │ -000786e0: 6174 6520 7b0a 2020 7061 636b 6167 6520  ate {.  package 
│ │ │ -000786f0: 7b20 276e 7470 6461 7465 273a 0a20 2020  { 'ntpdate':.   
│ │ │ -00078700: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -00078710: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -00078720: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00078730: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00078740: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00078750: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00078760: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00078770: 2369 646d 3139 3635 3622 2074 6162 696e  #idm19656" tabin
│ │ │ -00078780: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00078790: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000787a0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000787b0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -000787c0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -000787d0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -000787e0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -000787f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00078800: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00078810: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00078820: 2269 646d 3139 3635 3622 3e3c 7461 626c  "idm19656"><tabl
│ │ │ -00078830: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00078840: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00078850: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00078860: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00078870: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00078880: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00078890: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000788a0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000788b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000788c0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -000788d0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000788e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000788f0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00078900: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00078910: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00078920: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -00078930: 7265 206e 7470 6461 7465 2069 7320 7265  re ntpdate is re
│ │ │ -00078940: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -00078950: 0a20 2020 206e 616d 653a 206e 7470 6461  .    name: ntpda
│ │ │ -00078960: 7465 0a20 2020 2073 7461 7465 3a20 6162  te.    state: ab
│ │ │ -00078970: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00078980: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -00078990: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000789a0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000789b0: 7275 7074 696f 6e0a 2020 2d20 6c6f 775f  ruption.  - low_
│ │ │ -000789c0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000789d0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000789e0: 2d20 7061 636b 6167 655f 6e74 7064 6174  - package_ntpdat
│ │ │ -000789f0: 655f 7265 6d6f 7665 640a 3c2f 636f 6465  e_removed.</code
│ │ │ -00078a00: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00078a10: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00078a20: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00078a30: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00078a40: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00078a50: 3139 3635 3722 2074 6162 696e 6465 783d  19657" tabindex=
│ │ │ -00078a60: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00078a70: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00078a80: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00078a90: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00078aa0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00078ab0: 6564 6961 7469 6f6e 2053 6865 6c6c 2073  ediation Shell s
│ │ │ -00078ac0: 6372 6970 7420 e287 b23c 2f61 3e3c 6272  cript ...</a><br
│ │ │ -00078ad0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00078ae0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00078af0: 6170 7365 2220 6964 3d22 6964 6d31 3936  apse" id="idm196
│ │ │ -00078b00: 3537 223e 3c74 6162 6c65 2063 6c61 7373  57"><table class
│ │ │ -00078b10: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00078b20: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00078b30: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00078b40: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00078b50: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00078b60: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00078b70: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00078b80: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00078b90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00078ba0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00078bb0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00078bc0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00078bd0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00078be0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00078bf0: 653e 3c70 7265 3e3c 636f 6465 3e0a 2320  e><pre><code>.# 
│ │ │ -00078c00: 4341 5554 494f 4e3a 2054 6869 7320 7265  CAUTION: This re
│ │ │ -00078c10: 6d65 6469 6174 696f 6e20 7363 7269 7074  mediation script
│ │ │ -00078c20: 2077 696c 6c20 7265 6d6f 7665 206e 7470   will remove ntp
│ │ │ -00078c30: 6461 7465 0a23 0920 2020 6672 6f6d 2074  date.#.   from t
│ │ │ -00078c40: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ -00078c50: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ -00078c60: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ -00078c70: 2064 6570 656e 6420 6f6e 206e 7470 6461   depend on ntpda
│ │ │ -00078c80: 7465 2e20 4578 6563 7574 6520 7468 6973  te. Execute this
│ │ │ -00078c90: 0a23 0920 2020 7265 6d65 6469 6174 696f  .#.   remediatio
│ │ │ -00078ca0: 6e20 4146 5445 5220 7465 7374 696e 6720  n AFTER testing 
│ │ │ -00078cb0: 6f6e 2061 206e 6f6e 2d70 726f 6475 6374  on a non-product
│ │ │ -00078cc0: 696f 6e0a 2309 2020 2073 7973 7465 6d21  ion.#.   system!
│ │ │ -00078cd0: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -00078ce0: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -00078cf0: 2061 7074 2d67 6574 2072 656d 6f76 6520   apt-get remove 
│ │ │ -00078d00: 2d79 2022 6e74 7064 6174 6522 0a3c 2f63  -y "ntpdate".</c
│ │ │ +00078570: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00078580: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00078590: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +000785a0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +000785b0: 2069 643d 2269 646d 3139 3635 3522 3e3c   id="idm19655"><
│ │ │ +000785c0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +000785d0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000785e0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000785f0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00078600: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00078610: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00078620: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00078630: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00078640: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00078650: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00078660: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00078670: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00078680: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00078690: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +000786a0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +000786b0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +000786c0: 456e 7375 7265 206e 7470 6461 7465 2069  Ensure ntpdate i
│ │ │ +000786d0: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +000786e0: 6167 653a 0a20 2020 206e 616d 653a 206e  age:.    name: n
│ │ │ +000786f0: 7470 6461 7465 0a20 2020 2073 7461 7465  tpdate.    state
│ │ │ +00078700: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ +00078710: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00078720: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00078730: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00078740: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00078750: 6c6f 775f 7365 7665 7269 7479 0a20 202d  low_severity.  -
│ │ │ +00078760: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00078770: 640a 2020 2d20 7061 636b 6167 655f 6e74  d.  - package_nt
│ │ │ +00078780: 7064 6174 655f 7265 6d6f 7665 640a 3c2f  pdate_removed.</
│ │ │ +00078790: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +000787a0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +000787b0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +000787c0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +000787d0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000787e0: 2369 646d 3139 3635 3622 2074 6162 696e  #idm19656" tabin
│ │ │ +000787f0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00078800: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00078810: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00078820: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00078830: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00078840: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +00078850: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +00078860: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00078870: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00078880: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00078890: 6d31 3936 3536 223e 3c74 6162 6c65 2063  m19656"><table c
│ │ │ +000788a0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000788b0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000788c0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000788d0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000788e0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000788f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00078900: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00078910: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00078920: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00078930: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00078940: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00078950: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00078960: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00078970: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00078980: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00078990: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ +000789a0: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +000789b0: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +000789c0: 206e 7470 6461 7465 0a23 0920 2020 6672   ntpdate.#.   fr
│ │ │ +000789d0: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ +000789e0: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ +000789f0: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ +00078a00: 7468 6174 2064 6570 656e 6420 6f6e 206e  that depend on n
│ │ │ +00078a10: 7470 6461 7465 2e20 4578 6563 7574 6520  tpdate. Execute 
│ │ │ +00078a20: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ +00078a30: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ +00078a40: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ +00078a50: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ +00078a60: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ +00078a70: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ +00078a80: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ +00078a90: 6f76 6520 2d79 2022 6e74 7064 6174 6522  ove -y "ntpdate"
│ │ │ +00078aa0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00078ab0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00078ac0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00078ad0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00078ae0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00078af0: 743d 2223 6964 6d31 3936 3537 2220 7461  t="#idm19657" ta
│ │ │ +00078b00: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00078b10: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00078b20: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00078b30: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00078b40: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00078b50: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00078b60: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00078b70: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00078b80: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00078b90: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00078ba0: 643d 2269 646d 3139 3635 3722 3e3c 7461  d="idm19657"><ta
│ │ │ +00078bb0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00078bc0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00078bd0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00078be0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00078bf0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00078c00: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00078c10: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00078c20: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00078c30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00078c40: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00078c50: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00078c60: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00078c70: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00078c80: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00078c90: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00078ca0: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ +00078cb0: 6d6f 7665 5f6e 7470 6461 7465 0a0a 636c  move_ntpdate..cl
│ │ │ +00078cc0: 6173 7320 7265 6d6f 7665 5f6e 7470 6461  ass remove_ntpda
│ │ │ +00078cd0: 7465 207b 0a20 2070 6163 6b61 6765 207b  te {.  package {
│ │ │ +00078ce0: 2027 6e74 7064 6174 6527 3a0a 2020 2020   'ntpdate':.    
│ │ │ +00078cf0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +00078d00: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  00078d10: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00078d20: 3c2f 6469 763e 3c2f 7464 3e3c 2f74 723e  </div></td></tr>
│ │ │  00078d30: 3c2f 7462 6f64 793e 3c2f 7461 626c 653e  </tbody></table>
│ │ │  00078d40: 3c2f 7464 3e3c 2f74 723e 3c74 7220 6461  </td></tr><tr da
│ │ │  00078d50: 7461 2d74 742d 6964 3d22 7863 6364 665f  ta-tt-id="xccdf_
│ │ │  00078d60: 6f72 672e 7373 6770 726f 6a65 6374 2e63  org.ssgproject.c
│ │ │  00078d70: 6f6e 7465 6e74 5f72 756c 655f 7061 636b  ontent_rule_pack
│ │ │ @@ -31142,144 +31142,144 @@
│ │ │  00079a50: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00079a60: 6964 6d31 3937 3536 2220 7461 6269 6e64  idm19756" tabind
│ │ │  00079a70: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  00079a80: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  00079a90: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  00079aa0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  00079ab0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00079ac0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -00079ad0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00079ae0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00079af0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00079b00: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00079b10: 646d 3139 3735 3622 3e3c 7461 626c 6520  dm19756"><table 
│ │ │ -00079b20: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00079b30: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00079b40: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00079b50: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00079b60: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00079b70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079b80: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00079b90: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00079ba0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00079bb0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00079bc0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00079bd0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00079be0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00079bf0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00079c00: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00079c10: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -00079c20: 5f74 656c 6e65 7464 2d73 736c 0a0a 636c  _telnetd-ssl..cl
│ │ │ -00079c30: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ -00079c40: 7464 2d73 736c 207b 0a20 2070 6163 6b61  td-ssl {.  packa
│ │ │ -00079c50: 6765 207b 2027 7465 6c6e 6574 642d 7373  ge { 'telnetd-ss
│ │ │ -00079c60: 6c27 3a0a 2020 2020 656e 7375 7265 203d  l':.    ensure =
│ │ │ -00079c70: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00079c80: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00079c90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00079ca0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00079cb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00079cc0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00079cd0: 6172 6765 743d 2223 6964 6d31 3937 3537  arget="#idm19757
│ │ │ -00079ce0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00079cf0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00079d00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00079d10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00079d20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00079d30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00079d40: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00079d50: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00079d60: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00079d70: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00079d80: 7365 2220 6964 3d22 6964 6d31 3937 3537  se" id="idm19757
│ │ │ -00079d90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00079da0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00079db0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00079dc0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00079dd0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00079de0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00079df0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00079e00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00079e10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00079e20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00079e30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00079e40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00079e50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00079e60: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00079e70: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00079e80: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00079e90: 653a 2045 6e73 7572 6520 7465 6c6e 6574  e: Ensure telnet
│ │ │ -00079ea0: 642d 7373 6c20 6973 2072 656d 6f76 6564  d-ssl is removed
│ │ │ -00079eb0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00079ec0: 6e61 6d65 3a20 7465 6c6e 6574 642d 7373  name: telnetd-ss
│ │ │ -00079ed0: 6c0a 2020 2020 7374 6174 653a 2061 6273  l.    state: abs
│ │ │ -00079ee0: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ -00079ef0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -00079f00: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -00079f10: 2d35 332d 434d 2d37 2861 290a 2020 2d20  -53-CM-7(a).  - 
│ │ │ -00079f20: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -00079f30: 2862 290a 2020 2d20 6469 7361 626c 655f  (b).  - disable_
│ │ │ -00079f40: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ -00079f50: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ -00079f60: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00079f70: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00079f80: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00079f90: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -00079fa0: 655f 7465 6c6e 6574 642d 7373 6c5f 7265  e_telnetd-ssl_re
│ │ │ -00079fb0: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ -00079fc0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00079fd0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00079fe0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00079ff0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0007a000: 7461 7267 6574 3d22 2369 646d 3139 3735  target="#idm1975
│ │ │ -0007a010: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ -0007a020: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0007a030: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0007a040: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0007a050: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0007a060: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0007a070: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ -0007a080: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0007a090: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0007a0a0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0007a0b0: 2220 6964 3d22 6964 6d31 3937 3538 223e  " id="idm19758">
│ │ │ -0007a0c0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007a0d0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007a0e0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007a0f0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007a100: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007a110: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007a120: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007a130: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007a140: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007a150: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007a160: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007a170: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007a180: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007a190: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0007a1a0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0007a1b0: 7265 3e3c 636f 6465 3e0a 2320 4341 5554  re><code>.# CAUT
│ │ │ -0007a1c0: 494f 4e3a 2054 6869 7320 7265 6d65 6469  ION: This remedi
│ │ │ -0007a1d0: 6174 696f 6e20 7363 7269 7074 2077 696c  ation script wil
│ │ │ -0007a1e0: 6c20 7265 6d6f 7665 2074 656c 6e65 7464  l remove telnetd
│ │ │ -0007a1f0: 2d73 736c 0a23 0920 2020 6672 6f6d 2074  -ssl.#.   from t
│ │ │ -0007a200: 6865 2073 7973 7465 6d2c 2061 6e64 206d  he system, and m
│ │ │ -0007a210: 6179 2072 656d 6f76 6520 616e 7920 7061  ay remove any pa
│ │ │ -0007a220: 636b 6167 6573 0a23 0920 2020 7468 6174  ckages.#.   that
│ │ │ -0007a230: 2064 6570 656e 6420 6f6e 2074 656c 6e65   depend on telne
│ │ │ -0007a240: 7464 2d73 736c 2e20 4578 6563 7574 6520  td-ssl. Execute 
│ │ │ -0007a250: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ -0007a260: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ -0007a270: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ -0007a280: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ -0007a290: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ -0007a2a0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -0007a2b0: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ -0007a2c0: 6f76 6520 2d79 2022 7465 6c6e 6574 642d  ove -y "telnetd-
│ │ │ -0007a2d0: 7373 6c22 0a3c 2f63 6f64 653e 3c2f 7072  ssl".</code></pr
│ │ │ +00079ac0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +00079ad0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +00079ae0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00079af0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00079b00: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00079b10: 6964 6d31 3937 3536 223e 3c74 6162 6c65  idm19756"><table
│ │ │ +00079b20: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00079b30: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00079b40: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00079b50: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00079b60: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00079b70: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00079b80: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00079b90: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00079ba0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00079bb0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00079bc0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00079bd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00079be0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00079bf0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00079c00: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00079c10: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +00079c20: 6520 7465 6c6e 6574 642d 7373 6c20 6973  e telnetd-ssl is
│ │ │ +00079c30: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +00079c40: 6765 3a0a 2020 2020 6e61 6d65 3a20 7465  ge:.    name: te
│ │ │ +00079c50: 6c6e 6574 642d 7373 6c0a 2020 2020 7374  lnetd-ssl.    st
│ │ │ +00079c60: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +00079c70: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00079c80: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00079c90: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +00079ca0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00079cb0: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +00079cc0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00079cd0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +00079ce0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +00079cf0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00079d00: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00079d10: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00079d20: 2d20 7061 636b 6167 655f 7465 6c6e 6574  - package_telnet
│ │ │ +00079d30: 642d 7373 6c5f 7265 6d6f 7665 640a 3c2f  d-ssl_removed.</
│ │ │ +00079d40: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00079d50: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00079d60: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00079d70: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00079d80: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00079d90: 2369 646d 3139 3735 3722 2074 6162 696e  #idm19757" tabin
│ │ │ +00079da0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00079db0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00079dc0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00079dd0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00079de0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00079df0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +00079e00: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +00079e10: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00079e20: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00079e30: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00079e40: 6d31 3937 3537 223e 3c74 6162 6c65 2063  m19757"><table c
│ │ │ +00079e50: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00079e60: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00079e70: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00079e80: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00079e90: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00079ea0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00079eb0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00079ec0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00079ed0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00079ee0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00079ef0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00079f00: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00079f10: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00079f20: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00079f30: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00079f40: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ +00079f50: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ +00079f60: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ +00079f70: 2074 656c 6e65 7464 2d73 736c 0a23 0920   telnetd-ssl.#. 
│ │ │ +00079f80: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ +00079f90: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ +00079fa0: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ +00079fb0: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ +00079fc0: 6f6e 2074 656c 6e65 7464 2d73 736c 2e20  on telnetd-ssl. 
│ │ │ +00079fd0: 4578 6563 7574 6520 7468 6973 0a23 0920  Execute this.#. 
│ │ │ +00079fe0: 2020 7265 6d65 6469 6174 696f 6e20 4146    remediation AF
│ │ │ +00079ff0: 5445 5220 7465 7374 696e 6720 6f6e 2061  TER testing on a
│ │ │ +0007a000: 206e 6f6e 2d70 726f 6475 6374 696f 6e0a   non-production.
│ │ │ +0007a010: 2309 2020 2073 7973 7465 6d21 0a0a 4445  #.   system!..DE
│ │ │ +0007a020: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ +0007a030: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ +0007a040: 2d67 6574 2072 656d 6f76 6520 2d79 2022  -get remove -y "
│ │ │ +0007a050: 7465 6c6e 6574 642d 7373 6c22 0a3c 2f63  telnetd-ssl".</c
│ │ │ +0007a060: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +0007a070: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +0007a080: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +0007a090: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +0007a0a0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +0007a0b0: 6964 6d31 3937 3538 2220 7461 6269 6e64  idm19758" tabind
│ │ │ +0007a0c0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +0007a0d0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +0007a0e0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +0007a0f0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +0007a100: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +0007a110: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +0007a120: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +0007a130: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0007a140: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0007a150: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0007a160: 646d 3139 3735 3822 3e3c 7461 626c 6520  dm19758"><table 
│ │ │ +0007a170: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0007a180: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0007a190: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0007a1a0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0007a1b0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0007a1c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007a1d0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0007a1e0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0007a1f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007a200: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0007a210: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0007a220: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0007a230: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0007a240: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0007a250: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0007a260: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +0007a270: 5f74 656c 6e65 7464 2d73 736c 0a0a 636c  _telnetd-ssl..cl
│ │ │ +0007a280: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ +0007a290: 7464 2d73 736c 207b 0a20 2070 6163 6b61  td-ssl {.  packa
│ │ │ +0007a2a0: 6765 207b 2027 7465 6c6e 6574 642d 7373  ge { 'telnetd-ss
│ │ │ +0007a2b0: 6c27 3a0a 2020 2020 656e 7375 7265 203d  l':.    ensure =
│ │ │ +0007a2c0: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ +0007a2d0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  0007a2e0: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  0007a2f0: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  0007a300: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  0007a310: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  0007a320: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  0007a330: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  0007a340: 756c 655f 7061 636b 6167 655f 7465 6c6e  ule_package_teln
│ │ │ @@ -31490,141 +31490,141 @@
│ │ │  0007b010: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0007b020: 6964 6d31 3938 3536 2220 7461 6269 6e64  idm19856" tabind
│ │ │  0007b030: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  0007b040: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  0007b050: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  0007b060: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  0007b070: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0007b080: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0007b090: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0007b0a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007b0b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007b0c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007b0d0: 646d 3139 3835 3622 3e3c 7461 626c 6520  dm19856"><table 
│ │ │ -0007b0e0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0007b0f0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0007b100: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0007b110: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0007b120: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0007b130: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007b140: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0007b150: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0007b160: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007b170: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0007b180: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0007b190: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0007b1a0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0007b1b0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0007b1c0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0007b1d0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -0007b1e0: 5f74 656c 6e65 7464 0a0a 636c 6173 7320  _telnetd..class 
│ │ │ -0007b1f0: 7265 6d6f 7665 5f74 656c 6e65 7464 207b  remove_telnetd {
│ │ │ -0007b200: 0a20 2070 6163 6b61 6765 207b 2027 7465  .  package { 'te
│ │ │ -0007b210: 6c6e 6574 6427 3a0a 2020 2020 656e 7375  lnetd':.    ensu
│ │ │ -0007b220: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -0007b230: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0007b240: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0007b250: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0007b260: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0007b270: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0007b280: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -0007b290: 3938 3537 2220 7461 6269 6e64 6578 3d22  9857" tabindex="
│ │ │ -0007b2a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0007b2b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0007b2c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0007b2d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0007b2e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0007b2f0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0007b300: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0007b310: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0007b320: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0007b330: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0007b340: 3938 3537 223e 3c74 6162 6c65 2063 6c61  9857"><table cla
│ │ │ -0007b350: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0007b360: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0007b370: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0007b380: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0007b390: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0007b3a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0007b3b0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0007b3c0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0007b3d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007b3e0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0007b3f0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0007b400: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0007b410: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -0007b420: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0007b430: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0007b440: 206e 616d 653a 2045 6e73 7572 6520 7465   name: Ensure te
│ │ │ -0007b450: 6c6e 6574 6420 6973 2072 656d 6f76 6564  lnetd is removed
│ │ │ -0007b460: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -0007b470: 6e61 6d65 3a20 7465 6c6e 6574 640a 2020  name: telnetd.  
│ │ │ -0007b480: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -0007b490: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -0007b4a0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0007b4b0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007b4c0: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -0007b4d0: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -0007b4e0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0007b4f0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -0007b500: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -0007b510: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0007b520: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0007b530: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0007b540: 640a 2020 2d20 7061 636b 6167 655f 7465  d.  - package_te
│ │ │ -0007b550: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ -0007b560: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0007b570: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0007b580: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0007b590: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0007b5a0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0007b5b0: 2369 646d 3139 3835 3822 2074 6162 696e  #idm19858" tabin
│ │ │ -0007b5c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0007b5d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0007b5e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0007b5f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0007b600: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0007b610: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ -0007b620: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ -0007b630: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007b640: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007b650: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007b660: 6d31 3938 3538 223e 3c74 6162 6c65 2063  m19858"><table c
│ │ │ -0007b670: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0007b680: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0007b690: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0007b6a0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0007b6b0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0007b6c0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007b6d0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0007b6e0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0007b6f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007b700: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0007b710: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0007b720: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0007b730: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0007b740: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007b750: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007b760: 3e0a 2320 4341 5554 494f 4e3a 2054 6869  >.# CAUTION: Thi
│ │ │ -0007b770: 7320 7265 6d65 6469 6174 696f 6e20 7363  s remediation sc
│ │ │ -0007b780: 7269 7074 2077 696c 6c20 7265 6d6f 7665  ript will remove
│ │ │ -0007b790: 2074 656c 6e65 7464 0a23 0920 2020 6672   telnetd.#.   fr
│ │ │ -0007b7a0: 6f6d 2074 6865 2073 7973 7465 6d2c 2061  om the system, a
│ │ │ -0007b7b0: 6e64 206d 6179 2072 656d 6f76 6520 616e  nd may remove an
│ │ │ -0007b7c0: 7920 7061 636b 6167 6573 0a23 0920 2020  y packages.#.   
│ │ │ -0007b7d0: 7468 6174 2064 6570 656e 6420 6f6e 2074  that depend on t
│ │ │ -0007b7e0: 656c 6e65 7464 2e20 4578 6563 7574 6520  elnetd. Execute 
│ │ │ -0007b7f0: 7468 6973 0a23 0920 2020 7265 6d65 6469  this.#.   remedi
│ │ │ -0007b800: 6174 696f 6e20 4146 5445 5220 7465 7374  ation AFTER test
│ │ │ -0007b810: 696e 6720 6f6e 2061 206e 6f6e 2d70 726f  ing on a non-pro
│ │ │ -0007b820: 6475 6374 696f 6e0a 2309 2020 2073 7973  duction.#.   sys
│ │ │ -0007b830: 7465 6d21 0a0a 4445 4249 414e 5f46 524f  tem!..DEBIAN_FRO
│ │ │ -0007b840: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -0007b850: 7469 7665 2061 7074 2d67 6574 2072 656d  tive apt-get rem
│ │ │ -0007b860: 6f76 6520 2d79 2022 7465 6c6e 6574 6422  ove -y "telnetd"
│ │ │ +0007b080: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +0007b090: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +0007b0a0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0007b0b0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0007b0c0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0007b0d0: 6964 6d31 3938 3536 223e 3c74 6162 6c65  idm19856"><table
│ │ │ +0007b0e0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0007b0f0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0007b100: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0007b110: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0007b120: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0007b130: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007b140: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0007b150: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0007b160: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007b170: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0007b180: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0007b190: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0007b1a0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0007b1b0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0007b1c0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0007b1d0: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +0007b1e0: 6520 7465 6c6e 6574 6420 6973 2072 656d  e telnetd is rem
│ │ │ +0007b1f0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +0007b200: 2020 2020 6e61 6d65 3a20 7465 6c6e 6574      name: telnet
│ │ │ +0007b210: 640a 2020 2020 7374 6174 653a 2061 6273  d.    state: abs
│ │ │ +0007b220: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +0007b230: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0007b240: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +0007b250: 2d35 332d 434d 2d37 2861 290a 2020 2d20  -53-CM-7(a).  - 
│ │ │ +0007b260: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +0007b270: 2862 290a 2020 2d20 6469 7361 626c 655f  (b).  - disable_
│ │ │ +0007b280: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ +0007b290: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ +0007b2a0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0007b2b0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0007b2c0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0007b2d0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0007b2e0: 655f 7465 6c6e 6574 645f 7265 6d6f 7665  e_telnetd_remove
│ │ │ +0007b2f0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0007b300: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0007b310: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0007b320: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0007b330: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0007b340: 6574 3d22 2369 646d 3139 3835 3722 2074  et="#idm19857" t
│ │ │ +0007b350: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0007b360: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0007b370: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0007b380: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0007b390: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0007b3a0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0007b3b0: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +0007b3c0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0007b3d0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0007b3e0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0007b3f0: 3d22 6964 6d31 3938 3537 223e 3c74 6162  ="idm19857"><tab
│ │ │ +0007b400: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0007b410: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0007b420: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0007b430: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0007b440: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0007b450: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007b460: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0007b470: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0007b480: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0007b490: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0007b4a0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0007b4b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0007b4c0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0007b4d0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +0007b4e0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0007b4f0: 636f 6465 3e0a 2320 4341 5554 494f 4e3a  code>.# CAUTION:
│ │ │ +0007b500: 2054 6869 7320 7265 6d65 6469 6174 696f   This remediatio
│ │ │ +0007b510: 6e20 7363 7269 7074 2077 696c 6c20 7265  n script will re
│ │ │ +0007b520: 6d6f 7665 2074 656c 6e65 7464 0a23 0920  move telnetd.#. 
│ │ │ +0007b530: 2020 6672 6f6d 2074 6865 2073 7973 7465    from the syste
│ │ │ +0007b540: 6d2c 2061 6e64 206d 6179 2072 656d 6f76  m, and may remov
│ │ │ +0007b550: 6520 616e 7920 7061 636b 6167 6573 0a23  e any packages.#
│ │ │ +0007b560: 0920 2020 7468 6174 2064 6570 656e 6420  .   that depend 
│ │ │ +0007b570: 6f6e 2074 656c 6e65 7464 2e20 4578 6563  on telnetd. Exec
│ │ │ +0007b580: 7574 6520 7468 6973 0a23 0920 2020 7265  ute this.#.   re
│ │ │ +0007b590: 6d65 6469 6174 696f 6e20 4146 5445 5220  mediation AFTER 
│ │ │ +0007b5a0: 7465 7374 696e 6720 6f6e 2061 206e 6f6e  testing on a non
│ │ │ +0007b5b0: 2d70 726f 6475 6374 696f 6e0a 2309 2020  -production.#.  
│ │ │ +0007b5c0: 2073 7973 7465 6d21 0a0a 4445 4249 414e   system!..DEBIAN
│ │ │ +0007b5d0: 5f46 524f 4e54 454e 443d 6e6f 6e69 6e74  _FRONTEND=nonint
│ │ │ +0007b5e0: 6572 6163 7469 7665 2061 7074 2d67 6574  eractive apt-get
│ │ │ +0007b5f0: 2072 656d 6f76 6520 2d79 2022 7465 6c6e   remove -y "teln
│ │ │ +0007b600: 6574 6422 0a3c 2f63 6f64 653e 3c2f 7072  etd".</code></pr
│ │ │ +0007b610: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0007b620: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0007b630: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0007b640: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0007b650: 6172 6765 743d 2223 6964 6d31 3938 3538  arget="#idm19858
│ │ │ +0007b660: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0007b670: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0007b680: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0007b690: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0007b6a0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0007b6b0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0007b6c0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0007b6d0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0007b6e0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0007b6f0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0007b700: 6522 2069 643d 2269 646d 3139 3835 3822  e" id="idm19858"
│ │ │ +0007b710: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0007b720: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0007b730: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0007b740: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0007b750: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0007b760: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0007b770: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0007b780: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0007b790: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007b7a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0007b7b0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0007b7c0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0007b7d0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0007b7e0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0007b7f0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0007b800: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +0007b810: 6520 7265 6d6f 7665 5f74 656c 6e65 7464  e remove_telnetd
│ │ │ +0007b820: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ +0007b830: 656c 6e65 7464 207b 0a20 2070 6163 6b61  elnetd {.  packa
│ │ │ +0007b840: 6765 207b 2027 7465 6c6e 6574 6427 3a0a  ge { 'telnetd':.
│ │ │ +0007b850: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +0007b860: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  0007b870: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  0007b880: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  0007b890: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  0007b8a0: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c74  ble></td></tr><t
│ │ │  0007b8b0: 7220 6461 7461 2d74 742d 6964 3d22 6368  r data-tt-id="ch
│ │ │  0007b8c0: 696c 6472 656e 2d78 6363 6466 5f6f 7267  ildren-xccdf_org
│ │ │  0007b8d0: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │ @@ -32072,179 +32072,179 @@
│ │ │  0007d470: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  0007d480: 3035 3139 2220 7461 6269 6e64 6578 3d22  0519" tabindex="
│ │ │  0007d490: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  0007d4a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  0007d4b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  0007d4c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  0007d4d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0007d4e0: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -0007d4f0: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -0007d500: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0007d510: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0007d520: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0007d530: 2220 6964 3d22 6964 6d32 3035 3139 223e  " id="idm20519">
│ │ │ -0007d540: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ -0007d550: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ -0007d560: 226e 7470 220a 7665 7273 696f 6e20 3d20  "ntp".version = 
│ │ │ -0007d570: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ -0007d580: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0007d590: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0007d5a0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0007d5b0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0007d5c0: 7267 6574 3d22 2369 646d 3230 3532 3022  rget="#idm20520"
│ │ │ -0007d5d0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0007d5e0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0007d5f0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0007d600: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0007d610: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0007d620: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0007d630: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0007d640: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0007d650: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0007d660: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0007d670: 2220 6964 3d22 6964 6d32 3035 3230 223e  " id="idm20520">
│ │ │ -0007d680: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007d690: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007d6a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007d6b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007d6c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007d6d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007d6e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007d6f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007d700: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007d710: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007d720: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007d730: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007d740: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007d750: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -0007d760: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0007d770: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -0007d780: 696e 7374 616c 6c5f 6e74 700a 0a63 6c61  install_ntp..cla
│ │ │ -0007d790: 7373 2069 6e73 7461 6c6c 5f6e 7470 207b  ss install_ntp {
│ │ │ -0007d7a0: 0a20 2070 6163 6b61 6765 207b 2027 6e74  .  package { 'nt
│ │ │ -0007d7b0: 7027 3a0a 2020 2020 656e 7375 7265 203d  p':.    ensure =
│ │ │ -0007d7c0: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ -0007d7d0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -0007d7e0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0007d7f0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0007d800: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0007d810: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0007d820: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ -0007d830: 3532 3122 2074 6162 696e 6465 783d 2230  521" tabindex="0
│ │ │ -0007d840: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0007d850: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0007d860: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0007d870: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0007d880: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007d890: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -0007d8a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0007d8b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0007d8c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0007d8d0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ -0007d8e0: 3532 3122 3e3c 7461 626c 6520 636c 6173  521"><table clas
│ │ │ -0007d8f0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0007d900: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0007d910: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0007d920: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0007d930: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0007d940: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007d950: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0007d960: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0007d970: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007d980: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0007d990: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0007d9a0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0007d9b0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -0007d9c0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0007d9d0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -0007d9e0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -0007d9f0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -0007da00: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -0007da10: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -0007da20: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0007da30: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0007da40: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0007da50: 2d31 302e 340a 2020 2d20 656e 6162 6c65  -10.4.  - enable
│ │ │ -0007da60: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -0007da70: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -0007da80: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0007da90: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0007daa0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -0007dab0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0007dac0: 6765 5f6e 7470 5f69 6e73 7461 6c6c 6564  ge_ntp_installed
│ │ │ -0007dad0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0007dae0: 206e 7470 2069 7320 696e 7374 616c 6c65   ntp is installe
│ │ │ -0007daf0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -0007db00: 206e 616d 653a 206e 7470 0a20 2020 2073   name: ntp.    s
│ │ │ -0007db10: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -0007db20: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -0007db30: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -0007db40: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0007db50: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0007db60: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -0007db70: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ -0007db80: 302e 340a 2020 2d20 656e 6162 6c65 5f73  0.4.  - enable_s
│ │ │ -0007db90: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ -0007dba0: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ -0007dbb0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -0007dbc0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -0007dbd0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0007dbe0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0007dbf0: 5f6e 7470 5f69 6e73 7461 6c6c 6564 0a3c  _ntp_installed.<
│ │ │ -0007dc00: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0007dc10: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0007dc20: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0007dc30: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0007dc40: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0007dc50: 2223 6964 6d32 3035 3232 2220 7461 6269  "#idm20522" tabi
│ │ │ -0007dc60: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007dc70: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007dc80: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007dc90: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007dca0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007dcb0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -0007dcc0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -0007dcd0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007dce0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007dcf0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007dd00: 646d 3230 3532 3222 3e3c 7461 626c 6520  dm20522"><table 
│ │ │ -0007dd10: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0007dd20: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0007dd30: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0007dd40: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0007dd50: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0007dd60: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007dd70: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0007dd80: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0007dd90: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007dda0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0007ddb0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0007ddc0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0007ddd0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0007dde0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007ddf0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007de00: 3e23 2052 656d 6564 6961 7469 6f6e 2069  ># Remediation i
│ │ │ -0007de10: 7320 6170 706c 6963 6162 6c65 206f 6e6c  s applicable onl
│ │ │ -0007de20: 7920 696e 2063 6572 7461 696e 2070 6c61  y in certain pla
│ │ │ -0007de30: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71  tforms.if dpkg-q
│ │ │ -0007de40: 7565 7279 202d 2d73 686f 7720 2d2d 7368  uery --show --sh
│ │ │ -0007de50: 6f77 666f 726d 6174 3d27 247b 6462 3a53  owformat='${db:S
│ │ │ -0007de60: 7461 7475 732d 5374 6174 7573 7d0a 2720  tatus-Status}.' 
│ │ │ -0007de70: 276c 696e 7578 2d62 6173 6527 2032 2667  'linux-base' 2&g
│ │ │ -0007de80: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772  t;/dev/null | gr
│ │ │ -0007de90: 6570 202d 7120 5e69 6e73 7461 6c6c 6564  ep -q ^installed
│ │ │ -0007dea0: 3b20 7468 656e 0a0a 4445 4249 414e 5f46  ; then..DEBIAN_F
│ │ │ -0007deb0: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -0007dec0: 6163 7469 7665 2061 7074 2d67 6574 2069  active apt-get i
│ │ │ -0007ded0: 6e73 7461 6c6c 202d 7920 226e 7470 220a  nstall -y "ntp".
│ │ │ -0007dee0: 0a65 6c73 650a 2020 2020 2667 743b 2661  .else.    &gt;&a
│ │ │ -0007def0: 6d70 3b32 2065 6368 6f20 2752 656d 6564  mp;2 echo 'Remed
│ │ │ -0007df00: 6961 7469 6f6e 2069 7320 6e6f 7420 6170  iation is not ap
│ │ │ -0007df10: 706c 6963 6162 6c65 2c20 6e6f 7468 696e  plicable, nothin
│ │ │ -0007df20: 6720 7761 7320 646f 6e65 270a 6669 0a3c  g was done'.fi.<
│ │ │ +0007d4e0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +0007d4f0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0007d500: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0007d510: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0007d520: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0007d530: 3035 3139 223e 3c74 6162 6c65 2063 6c61  0519"><table cla
│ │ │ +0007d540: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007d550: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007d560: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007d570: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007d580: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007d590: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007d5a0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007d5b0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007d5c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007d5d0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007d5e0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007d5f0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007d600: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +0007d610: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0007d620: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +0007d630: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +0007d640: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +0007d650: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +0007d660: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +0007d670: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +0007d680: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0007d690: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +0007d6a0: 712d 3130 2e34 0a20 202d 2065 6e61 626c  q-10.4.  - enabl
│ │ │ +0007d6b0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ +0007d6c0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ +0007d6d0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0007d6e0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0007d6f0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ +0007d700: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +0007d710: 6167 655f 6e74 705f 696e 7374 616c 6c65  age_ntp_installe
│ │ │ +0007d720: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0007d730: 6520 6e74 7020 6973 2069 6e73 7461 6c6c  e ntp is install
│ │ │ +0007d740: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +0007d750: 2020 6e61 6d65 3a20 6e74 700a 2020 2020    name: ntp.    
│ │ │ +0007d760: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +0007d770: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +0007d780: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +0007d790: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0007d7a0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +0007d7b0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +0007d7c0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +0007d7d0: 3130 2e34 0a20 202d 2065 6e61 626c 655f  10.4.  - enable_
│ │ │ +0007d7e0: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ +0007d7f0: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ +0007d800: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0007d810: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0007d820: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0007d830: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0007d840: 655f 6e74 705f 696e 7374 616c 6c65 640a  e_ntp_installed.
│ │ │ +0007d850: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0007d860: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0007d870: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0007d880: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0007d890: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0007d8a0: 3d22 2369 646d 3230 3532 3022 2074 6162  ="#idm20520" tab
│ │ │ +0007d8b0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0007d8c0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0007d8d0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0007d8e0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0007d8f0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0007d900: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ +0007d910: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ +0007d920: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0007d930: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0007d940: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0007d950: 6964 6d32 3035 3230 223e 3c74 6162 6c65  idm20520"><table
│ │ │ +0007d960: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0007d970: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0007d980: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0007d990: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0007d9a0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0007d9b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007d9c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0007d9d0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0007d9e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007d9f0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0007da00: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0007da10: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0007da20: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0007da30: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0007da40: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0007da50: 653e 2320 5265 6d65 6469 6174 696f 6e20  e># Remediation 
│ │ │ +0007da60: 6973 2061 7070 6c69 6361 626c 6520 6f6e  is applicable on
│ │ │ +0007da70: 6c79 2069 6e20 6365 7274 6169 6e20 706c  ly in certain pl
│ │ │ +0007da80: 6174 666f 726d 730a 6966 2064 706b 672d  atforms.if dpkg-
│ │ │ +0007da90: 7175 6572 7920 2d2d 7368 6f77 202d 2d73  query --show --s
│ │ │ +0007daa0: 686f 7766 6f72 6d61 743d 2724 7b64 623a  howformat='${db:
│ │ │ +0007dab0: 5374 6174 7573 2d53 7461 7475 737d 0a27  Status-Status}.'
│ │ │ +0007dac0: 2027 6c69 6e75 782d 6261 7365 2720 3226   'linux-base' 2&
│ │ │ +0007dad0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067  gt;/dev/null | g
│ │ │ +0007dae0: 7265 7020 2d71 205e 696e 7374 616c 6c65  rep -q ^installe
│ │ │ +0007daf0: 643b 2074 6865 6e0a 0a44 4542 4941 4e5f  d; then..DEBIAN_
│ │ │ +0007db00: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ +0007db10: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ +0007db20: 696e 7374 616c 6c20 2d79 2022 6e74 7022  install -y "ntp"
│ │ │ +0007db30: 0a0a 656c 7365 0a20 2020 2026 6774 3b26  ..else.    &gt;&
│ │ │ +0007db40: 616d 703b 3220 6563 686f 2027 5265 6d65  amp;2 echo 'Reme
│ │ │ +0007db50: 6469 6174 696f 6e20 6973 206e 6f74 2061  diation is not a
│ │ │ +0007db60: 7070 6c69 6361 626c 652c 206e 6f74 6869  pplicable, nothi
│ │ │ +0007db70: 6e67 2077 6173 2064 6f6e 6527 0a66 690a  ng was done'.fi.
│ │ │ +0007db80: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0007db90: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0007dba0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0007dbb0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0007dbc0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0007dbd0: 3d22 2369 646d 3230 3532 3122 2074 6162  ="#idm20521" tab
│ │ │ +0007dbe0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0007dbf0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0007dc00: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0007dc10: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0007dc20: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0007dc30: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +0007dc40: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +0007dc50: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0007dc60: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0007dc70: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0007dc80: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0007dc90: 3230 3532 3122 3e3c 7072 653e 3c63 6f64  20521"><pre><cod
│ │ │ +0007dca0: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ +0007dcb0: 6e61 6d65 203d 2022 6e74 7022 0a76 6572  name = "ntp".ver
│ │ │ +0007dcc0: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ +0007dcd0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0007dce0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0007dcf0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0007dd00: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0007dd10: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0007dd20: 6d32 3035 3232 2220 7461 6269 6e64 6578  m20522" tabindex
│ │ │ +0007dd30: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0007dd40: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0007dd50: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0007dd60: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0007dd70: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0007dd80: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +0007dd90: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0007dda0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0007ddb0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0007ddc0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0007ddd0: 3230 3532 3222 3e3c 7461 626c 6520 636c  20522"><table cl
│ │ │ +0007dde0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0007ddf0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0007de00: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0007de10: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0007de20: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0007de30: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007de40: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0007de50: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0007de60: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007de70: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0007de80: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0007de90: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0007dea0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0007deb0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0007dec0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +0007ded0: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f6e  nclude install_n
│ │ │ +0007dee0: 7470 0a0a 636c 6173 7320 696e 7374 616c  tp..class instal
│ │ │ +0007def0: 6c5f 6e74 7020 7b0a 2020 7061 636b 6167  l_ntp {.  packag
│ │ │ +0007df00: 6520 7b20 276e 7470 273a 0a20 2020 2065  e { 'ntp':.    e
│ │ │ +0007df10: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +0007df20: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │  0007df30: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0007df40: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0007df50: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0007df60: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0007df70: 6461 7461 2d74 742d 6964 3d22 7863 6364  data-tt-id="xccd
│ │ │  0007df80: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0007df90: 2e63 6f6e 7465 6e74 5f72 756c 655f 7365  .content_rule_se
│ │ │ @@ -32473,157 +32473,157 @@
│ │ │  0007ed80: 743d 2223 6964 6d32 3036 3631 2220 7461  t="#idm20661" ta
│ │ │  0007ed90: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0007eda0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0007edb0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0007edc0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0007edd0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0007ede0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007edf0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -0007ee00: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0007ee10: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007ee20: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007ee30: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007ee40: 6d32 3036 3631 223e 3c70 7265 3e3c 636f  m20661"><pre><co
│ │ │ -0007ee50: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -0007ee60: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -0007ee70: 6162 6c65 6420 3d20 5b22 6e74 7022 5d0a  abled = ["ntp"].
│ │ │ -0007ee80: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0007ee90: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0007eea0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0007eeb0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0007eec0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0007eed0: 3d22 2369 646d 3230 3636 3222 2074 6162  ="#idm20662" tab
│ │ │ -0007eee0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0007eef0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0007ef00: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0007ef10: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0007ef20: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0007ef30: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -0007ef40: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -0007ef50: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007ef60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007ef70: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007ef80: 3d22 6964 6d32 3036 3632 223e 3c74 6162  ="idm20662"><tab
│ │ │ -0007ef90: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007efa0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007efb0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007efc0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007efd0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007efe0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007eff0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007f000: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007f010: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007f020: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007f030: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007f040: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007f050: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007f060: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -0007f070: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007f080: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ -0007f090: 6c65 5f6e 7470 0a0a 636c 6173 7320 656e  le_ntp..class en
│ │ │ -0007f0a0: 6162 6c65 5f6e 7470 207b 0a20 2073 6572  able_ntp {.  ser
│ │ │ -0007f0b0: 7669 6365 207b 276e 7470 273a 0a20 2020  vice {'ntp':.   
│ │ │ -0007f0c0: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ -0007f0d0: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ -0007f0e0: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ -0007f0f0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0007f100: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0007f110: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0007f120: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0007f130: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0007f140: 7461 7267 6574 3d22 2369 646d 3230 3636  target="#idm2066
│ │ │ -0007f150: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ -0007f160: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0007f170: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0007f180: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0007f190: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0007f1a0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0007f1b0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -0007f1c0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007f1d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007f1e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007f1f0: 7073 6522 2069 643d 2269 646d 3230 3636  pse" id="idm2066
│ │ │ -0007f200: 3322 3e3c 7461 626c 6520 636c 6173 733d  3"><table class=
│ │ │ -0007f210: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007f220: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007f230: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007f240: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007f250: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007f260: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007f270: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007f280: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007f290: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007f2a0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007f2b0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007f2c0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007f2d0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0007f2e0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0007f2f0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -0007f300: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -0007f310: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -0007f320: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -0007f330: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -0007f340: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0007f350: 3830 302d 3533 2d41 552d 3828 3129 2861  800-53-AU-8(1)(a
│ │ │ -0007f360: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0007f370: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -0007f380: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -0007f390: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -0007f3a0: 360a 2020 2d20 5043 492d 4453 5376 342d  6.  - PCI-DSSv4-
│ │ │ -0007f3b0: 3130 2e36 2e31 0a20 202d 2065 6e61 626c  10.6.1.  - enabl
│ │ │ -0007f3c0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -0007f3d0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -0007f3e0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -0007f3f0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -0007f400: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -0007f410: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -0007f420: 6963 655f 6e74 705f 656e 6162 6c65 640a  ice_ntp_enabled.
│ │ │ -0007f430: 0a2d 206e 616d 653a 2045 6e61 626c 6520  .- name: Enable 
│ │ │ -0007f440: 7468 6520 4e54 5020 4461 656d 6f6e 202d  the NTP Daemon -
│ │ │ -0007f450: 2045 6e61 626c 6520 7365 7276 6963 6520   Enable service 
│ │ │ -0007f460: 6e74 700a 2020 626c 6f63 6b3a 0a0a 2020  ntp.  block:..  
│ │ │ -0007f470: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -0007f480: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -0007f490: 0a20 2020 2070 6163 6b61 6765 5f66 6163  .    package_fac
│ │ │ -0007f4a0: 7473 3a0a 2020 2020 2020 6d61 6e61 6765  ts:.      manage
│ │ │ -0007f4b0: 723a 2061 7574 6f0a 0a20 202d 206e 616d  r: auto..  - nam
│ │ │ -0007f4c0: 653a 2045 6e61 626c 6520 7468 6520 4e54  e: Enable the NT
│ │ │ -0007f4d0: 5020 4461 656d 6f6e 202d 2045 6e61 626c  P Daemon - Enabl
│ │ │ -0007f4e0: 6520 5365 7276 6963 6520 6e74 700a 2020  e Service ntp.  
│ │ │ -0007f4f0: 2020 616e 7369 626c 652e 6275 696c 7469    ansible.builti
│ │ │ -0007f500: 6e2e 7379 7374 656d 643a 0a20 2020 2020  n.systemd:.     
│ │ │ -0007f510: 206e 616d 653a 206e 7470 0a20 2020 2020   name: ntp.     
│ │ │ -0007f520: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ -0007f530: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ -0007f540: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ -0007f550: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ -0007f560: 3a0a 2020 2020 2d20 2722 6e74 7022 2069  :.    - '"ntp" i
│ │ │ -0007f570: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -0007f580: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ -0007f590: 3a0a 2020 2d20 2722 6c69 6e75 782d 6261  :.  - '"linux-ba
│ │ │ -0007f5a0: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -0007f5b0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0007f5c0: 202d 2027 226e 7470 2220 696e 2061 6e73   - '"ntp" in ans
│ │ │ -0007f5d0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -0007f5e0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -0007f5f0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -0007f600: 3828 3129 2861 290a 2020 2d20 4e49 5354  8(1)(a).  - NIST
│ │ │ -0007f610: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0007f620: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -0007f630: 3130 2e34 0a20 202d 2050 4349 2d44 5353  10.4.  - PCI-DSS
│ │ │ -0007f640: 7634 2d31 302e 360a 2020 2d20 5043 492d  v4-10.6.  - PCI-
│ │ │ -0007f650: 4453 5376 342d 3130 2e36 2e31 0a20 202d  DSSv4-10.6.1.  -
│ │ │ -0007f660: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0007f670: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -0007f680: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -0007f690: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0007f6a0: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -0007f6b0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0007f6c0: 2d20 7365 7276 6963 655f 6e74 705f 656e  - service_ntp_en
│ │ │ -0007f6d0: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0007edf0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0007ee00: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007ee10: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007ee20: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007ee30: 6964 3d22 6964 6d32 3036 3631 223e 3c74  id="idm20661"><t
│ │ │ +0007ee40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0007ee50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0007ee60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0007ee70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0007ee80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0007ee90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0007eea0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007eeb0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0007eec0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007eed0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0007eee0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0007eef0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007ef00: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0007ef10: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0007ef20: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0007ef30: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +0007ef40: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0007ef50: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +0007ef60: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +0007ef70: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +0007ef80: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0007ef90: 332d 4155 2d38 2831 2928 6129 0a20 202d  3-AU-8(1)(a).  -
│ │ │ +0007efa0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0007efb0: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +0007efc0: 2d52 6571 2d31 302e 340a 2020 2d20 5043  -Req-10.4.  - PC
│ │ │ +0007efd0: 492d 4453 5376 342d 3130 2e36 0a20 202d  I-DSSv4-10.6.  -
│ │ │ +0007efe0: 2050 4349 2d44 5353 7634 2d31 302e 362e   PCI-DSSv4-10.6.
│ │ │ +0007eff0: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ +0007f000: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +0007f010: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +0007f020: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0007f030: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0007f040: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +0007f050: 6564 0a20 202d 2073 6572 7669 6365 5f6e  ed.  - service_n
│ │ │ +0007f060: 7470 5f65 6e61 626c 6564 0a0a 2d20 6e61  tp_enabled..- na
│ │ │ +0007f070: 6d65 3a20 456e 6162 6c65 2074 6865 204e  me: Enable the N
│ │ │ +0007f080: 5450 2044 6165 6d6f 6e20 2d20 456e 6162  TP Daemon - Enab
│ │ │ +0007f090: 6c65 2073 6572 7669 6365 206e 7470 0a20  le service ntp. 
│ │ │ +0007f0a0: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ +0007f0b0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +0007f0c0: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ +0007f0d0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +0007f0e0: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ +0007f0f0: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ +0007f100: 6162 6c65 2074 6865 204e 5450 2044 6165  able the NTP Dae
│ │ │ +0007f110: 6d6f 6e20 2d20 456e 6162 6c65 2053 6572  mon - Enable Ser
│ │ │ +0007f120: 7669 6365 206e 7470 0a20 2020 2061 6e73  vice ntp.    ans
│ │ │ +0007f130: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +0007f140: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +0007f150: 3a20 6e74 700a 2020 2020 2020 656e 6162  : ntp.      enab
│ │ │ +0007f160: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ +0007f170: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ +0007f180: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ +0007f190: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ +0007f1a0: 202d 2027 226e 7470 2220 696e 2061 6e73   - '"ntp" in ans
│ │ │ +0007f1b0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +0007f1c0: 6765 7327 0a20 2077 6865 6e3a 0a20 202d  ges'.  when:.  -
│ │ │ +0007f1d0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +0007f1e0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +0007f1f0: 7061 636b 6167 6573 270a 2020 2d20 2722  packages'.  - '"
│ │ │ +0007f200: 6e74 7022 2069 6e20 616e 7369 626c 655f  ntp" in ansible_
│ │ │ +0007f210: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0007f220: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +0007f230: 2d38 3030 2d35 332d 4155 2d38 2831 2928  -800-53-AU-8(1)(
│ │ │ +0007f240: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +0007f250: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +0007f260: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ +0007f270: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +0007f280: 2e36 0a20 202d 2050 4349 2d44 5353 7634  .6.  - PCI-DSSv4
│ │ │ +0007f290: 2d31 302e 362e 310a 2020 2d20 656e 6162  -10.6.1.  - enab
│ │ │ +0007f2a0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0007f2b0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ +0007f2c0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0007f2d0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0007f2e0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +0007f2f0: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +0007f300: 7669 6365 5f6e 7470 5f65 6e61 626c 6564  vice_ntp_enabled
│ │ │ +0007f310: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0007f320: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0007f330: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0007f340: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0007f350: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0007f360: 743d 2223 6964 6d32 3036 3632 2220 7461  t="#idm20662" ta
│ │ │ +0007f370: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0007f380: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0007f390: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0007f3a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0007f3b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0007f3c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0007f3d0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +0007f3e0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +0007f3f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0007f400: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0007f410: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0007f420: 6d32 3036 3632 223e 3c70 7265 3e3c 636f  m20662"><pre><co
│ │ │ +0007f430: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ +0007f440: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ +0007f450: 6162 6c65 6420 3d20 5b22 6e74 7022 5d0a  abled = ["ntp"].
│ │ │ +0007f460: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0007f470: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0007f480: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0007f490: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0007f4a0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0007f4b0: 3d22 2369 646d 3230 3636 3322 2074 6162  ="#idm20663" tab
│ │ │ +0007f4c0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0007f4d0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0007f4e0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0007f4f0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0007f500: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0007f510: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +0007f520: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +0007f530: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0007f540: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0007f550: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0007f560: 3d22 6964 6d32 3036 3633 223e 3c74 6162  ="idm20663"><tab
│ │ │ +0007f570: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0007f580: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0007f590: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0007f5a0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0007f5b0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0007f5c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007f5d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0007f5e0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0007f5f0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0007f600: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0007f610: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0007f620: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0007f630: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0007f640: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0007f650: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0007f660: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ +0007f670: 6c65 5f6e 7470 0a0a 636c 6173 7320 656e  le_ntp..class en
│ │ │ +0007f680: 6162 6c65 5f6e 7470 207b 0a20 2073 6572  able_ntp {.  ser
│ │ │ +0007f690: 7669 6365 207b 276e 7470 273a 0a20 2020  vice {'ntp':.   
│ │ │ +0007f6a0: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ +0007f6b0: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ +0007f6c0: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ +0007f6d0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0007f6e0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0007f6f0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0007f700: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0007f710: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0007f720: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  0007f730: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0007f740: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f73  .content_group_s
│ │ │ @@ -36215,204 +36215,204 @@
│ │ │  0008d760: 6172 6765 743d 2223 6964 6d32 3436 3437  arget="#idm24647
│ │ │  0008d770: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  0008d780: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  0008d790: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  0008d7a0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  0008d7b0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  0008d7c0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0008d7d0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -0008d7e0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -0008d7f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0008d800: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0008d810: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0008d820: 3d22 6964 6d32 3436 3437 223e 3c70 7265  ="idm24647"><pre
│ │ │ -0008d830: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -0008d840: 6573 5d5d 0a6e 616d 6520 3d20 2261 7564  es]].name = "aud
│ │ │ -0008d850: 6974 6422 0a76 6572 7369 6f6e 203d 2022  itd".version = "
│ │ │ -0008d860: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ -0008d870: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0008d880: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0008d890: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0008d8a0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0008d8b0: 6765 743d 2223 6964 6d32 3436 3438 2220  get="#idm24648" 
│ │ │ -0008d8c0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0008d8d0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0008d8e0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0008d8f0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0008d900: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0008d910: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0008d920: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0008d930: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0008d940: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0008d950: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0008d960: 2069 643d 2269 646d 3234 3634 3822 3e3c   id="idm24648"><
│ │ │ -0008d970: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0008d980: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0008d990: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0008d9a0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0008d9b0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0008d9c0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0008d9d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0008d9e0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0008d9f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0008da00: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0008da10: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0008da20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0008da30: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0008da40: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0008da50: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0008da60: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ -0008da70: 6e73 7461 6c6c 5f61 7564 6974 640a 0a63  nstall_auditd..c
│ │ │ -0008da80: 6c61 7373 2069 6e73 7461 6c6c 5f61 7564  lass install_aud
│ │ │ -0008da90: 6974 6420 7b0a 2020 7061 636b 6167 6520  itd {.  package 
│ │ │ -0008daa0: 7b20 2761 7564 6974 6427 3a0a 2020 2020  { 'auditd':.    
│ │ │ -0008dab0: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ -0008dac0: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ -0008dad0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0008dae0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0008daf0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0008db00: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0008db10: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0008db20: 3d22 2369 646d 3234 3634 3922 2074 6162  ="#idm24649" tab
│ │ │ -0008db30: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0008db40: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0008db50: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0008db60: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0008db70: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0008db80: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -0008db90: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -0008dba0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0008dbb0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0008dbc0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0008dbd0: 643d 2269 646d 3234 3634 3922 3e3c 7461  d="idm24649"><ta
│ │ │ -0008dbe0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0008dbf0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0008dc00: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0008dc10: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0008dc20: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0008dc30: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0008dc40: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0008dc50: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0008dc60: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0008dc70: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0008dc80: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0008dc90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0008dca0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0008dcb0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -0008dcc0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -0008dcd0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -0008dce0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -0008dcf0: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -0008dd00: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -0008dd10: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -0008dd20: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008dd30: 2d41 432d 3728 6129 0a20 202d 204e 4953  -AC-7(a).  - NIS
│ │ │ -0008dd40: 542d 3830 302d 3533 2d41 552d 3132 2832  T-800-53-AU-12(2
│ │ │ -0008dd50: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0008dd60: 332d 4155 2d31 340a 2020 2d20 4e49 5354  3-AU-14.  - NIST
│ │ │ -0008dd70: 2d38 3030 2d35 332d 4155 2d32 2861 290a  -800-53-AU-2(a).
│ │ │ -0008dd80: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008dd90: 4155 2d37 2831 290a 2020 2d20 4e49 5354  AU-7(1).  - NIST
│ │ │ -0008dda0: 2d38 3030 2d35 332d 4155 2d37 2832 290a  -800-53-AU-7(2).
│ │ │ -0008ddb0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008ddc0: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0008ddd0: 4453 532d 5265 712d 3130 2e31 0a20 202d  DSS-Req-10.1.  -
│ │ │ -0008dde0: 2050 4349 2d44 5353 7634 2d31 302e 320a   PCI-DSSv4-10.2.
│ │ │ -0008ddf0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -0008de00: 2e32 2e31 0a20 202d 2065 6e61 626c 655f  .2.1.  - enable_
│ │ │ -0008de10: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -0008de20: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0008de30: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0008de40: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -0008de50: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0008de60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0008de70: 6167 655f 6175 6469 745f 696e 7374 616c  age_audit_instal
│ │ │ -0008de80: 6c65 640a 0a2d 206e 616d 653a 2045 6e73  led..- name: Ens
│ │ │ -0008de90: 7572 6520 6175 6469 7464 2069 7320 696e  ure auditd is in
│ │ │ -0008dea0: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -0008deb0: 653a 0a20 2020 206e 616d 653a 2061 7564  e:.    name: aud
│ │ │ -0008dec0: 6974 640a 2020 2020 7374 6174 653a 2070  itd.    state: p
│ │ │ -0008ded0: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ -0008dee0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0008def0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0008df00: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -0008df10: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008df20: 4143 2d37 2861 290a 2020 2d20 4e49 5354  AC-7(a).  - NIST
│ │ │ -0008df30: 2d38 3030 2d35 332d 4155 2d31 3228 3229  -800-53-AU-12(2)
│ │ │ -0008df40: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008df50: 2d41 552d 3134 0a20 202d 204e 4953 542d  -AU-14.  - NIST-
│ │ │ -0008df60: 3830 302d 3533 2d41 552d 3228 6129 0a20  800-53-AU-2(a). 
│ │ │ -0008df70: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0008df80: 552d 3728 3129 0a20 202d 204e 4953 542d  U-7(1).  - NIST-
│ │ │ -0008df90: 3830 302d 3533 2d41 552d 3728 3229 0a20  800-53-AU-7(2). 
│ │ │ -0008dfa0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0008dfb0: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -0008dfc0: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ -0008dfd0: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ -0008dfe0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -0008dff0: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ -0008e000: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0008e010: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0008e020: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0008e030: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0008e040: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -0008e050: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0008e060: 6765 5f61 7564 6974 5f69 6e73 7461 6c6c  ge_audit_install
│ │ │ -0008e070: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ -0008e080: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0008e090: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0008e0a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0008e0b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0008e0c0: 6765 743d 2223 6964 6d32 3436 3530 2220  get="#idm24650" 
│ │ │ -0008e0d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0008e0e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0008e0f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0008e100: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0008e110: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0008e120: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0008e130: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ -0008e140: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0008e150: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0008e160: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0008e170: 643d 2269 646d 3234 3635 3022 3e3c 7461  d="idm24650"><ta
│ │ │ -0008e180: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0008e190: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0008e1a0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0008e1b0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0008e1c0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0008e1d0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0008e1e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0008e1f0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0008e200: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0008e210: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0008e220: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0008e230: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0008e240: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0008e250: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -0008e260: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -0008e270: 636f 6465 3e23 2052 656d 6564 6961 7469  code># Remediati
│ │ │ -0008e280: 6f6e 2069 7320 6170 706c 6963 6162 6c65  on is applicable
│ │ │ -0008e290: 206f 6e6c 7920 696e 2063 6572 7461 696e   only in certain
│ │ │ -0008e2a0: 2070 6c61 7466 6f72 6d73 0a69 6620 6470   platforms.if dp
│ │ │ -0008e2b0: 6b67 2d71 7565 7279 202d 2d73 686f 7720  kg-query --show 
│ │ │ -0008e2c0: 2d2d 7368 6f77 666f 726d 6174 3d27 247b  --showformat='${
│ │ │ -0008e2d0: 6462 3a53 7461 7475 732d 5374 6174 7573  db:Status-Status
│ │ │ -0008e2e0: 7d0a 2720 276c 696e 7578 2d62 6173 6527  }.' 'linux-base'
│ │ │ -0008e2f0: 2032 2667 743b 2f64 6576 2f6e 756c 6c20   2&gt;/dev/null 
│ │ │ -0008e300: 7c20 6772 6570 202d 7120 5e69 6e73 7461  | grep -q ^insta
│ │ │ -0008e310: 6c6c 6564 3b20 7468 656e 0a0a 4445 4249  lled; then..DEBI
│ │ │ -0008e320: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -0008e330: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -0008e340: 6574 2069 6e73 7461 6c6c 202d 7920 2261  et install -y "a
│ │ │ -0008e350: 7564 6974 6422 0a0a 656c 7365 0a20 2020  uditd"..else.   
│ │ │ -0008e360: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ -0008e370: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ -0008e380: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ -0008e390: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ -0008e3a0: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +0008d7d0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +0008d7e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0008d7f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0008d800: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0008d810: 7365 2220 6964 3d22 6964 6d32 3436 3437  se" id="idm24647
│ │ │ +0008d820: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0008d830: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0008d840: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0008d850: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0008d860: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0008d870: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0008d880: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0008d890: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0008d8a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0008d8b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0008d8c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0008d8d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0008d8e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0008d8f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0008d900: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0008d910: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0008d920: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +0008d930: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +0008d940: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +0008d950: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +0008d960: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0008d970: 3030 2d35 332d 4143 2d37 2861 290a 2020  00-53-AC-7(a).  
│ │ │ +0008d980: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +0008d990: 2d31 3228 3229 0a20 202d 204e 4953 542d  -12(2).  - NIST-
│ │ │ +0008d9a0: 3830 302d 3533 2d41 552d 3134 0a20 202d  800-53-AU-14.  -
│ │ │ +0008d9b0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008d9c0: 3228 6129 0a20 202d 204e 4953 542d 3830  2(a).  - NIST-80
│ │ │ +0008d9d0: 302d 3533 2d41 552d 3728 3129 0a20 202d  0-53-AU-7(1).  -
│ │ │ +0008d9e0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008d9f0: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ +0008da00: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0008da10: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +0008da20: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ +0008da30: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ +0008da40: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ +0008da50: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0008da60: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0008da70: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0008da80: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0008da90: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0008daa0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0008dab0: 2070 6163 6b61 6765 5f61 7564 6974 5f69   package_audit_i
│ │ │ +0008dac0: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ +0008dad0: 3a20 456e 7375 7265 2061 7564 6974 6420  : Ensure auditd 
│ │ │ +0008dae0: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +0008daf0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +0008db00: 3a20 6175 6469 7464 0a20 2020 2073 7461  : auditd.    sta
│ │ │ +0008db10: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ +0008db20: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +0008db30: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0008db40: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +0008db50: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +0008db60: 302d 3533 2d41 432d 3728 6129 0a20 202d  0-53-AC-7(a).  -
│ │ │ +0008db70: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008db80: 3132 2832 290a 2020 2d20 4e49 5354 2d38  12(2).  - NIST-8
│ │ │ +0008db90: 3030 2d35 332d 4155 2d31 340a 2020 2d20  00-53-AU-14.  - 
│ │ │ +0008dba0: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +0008dbb0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +0008dbc0: 2d35 332d 4155 2d37 2831 290a 2020 2d20  -53-AU-7(1).  - 
│ │ │ +0008dbd0: 4e49 5354 2d38 3030 2d35 332d 4155 2d37  NIST-800-53-AU-7
│ │ │ +0008dbe0: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ +0008dbf0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +0008dc00: 5043 492d 4453 532d 5265 712d 3130 2e31  PCI-DSS-Req-10.1
│ │ │ +0008dc10: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +0008dc20: 302e 320a 2020 2d20 5043 492d 4453 5376  0.2.  - PCI-DSSv
│ │ │ +0008dc30: 342d 3130 2e32 2e31 0a20 202d 2065 6e61  4-10.2.1.  - ena
│ │ │ +0008dc40: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0008dc50: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0008dc60: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0008dc70: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +0008dc80: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0008dc90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0008dca0: 7061 636b 6167 655f 6175 6469 745f 696e  package_audit_in
│ │ │ +0008dcb0: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +0008dcc0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0008dcd0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0008dce0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0008dcf0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0008dd00: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ +0008dd10: 3634 3822 2074 6162 696e 6465 783d 2230  648" tabindex="0
│ │ │ +0008dd20: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0008dd30: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0008dd40: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0008dd50: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0008dd60: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0008dd70: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +0008dd80: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +0008dd90: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0008dda0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0008ddb0: 7365 2220 6964 3d22 6964 6d32 3436 3438  se" id="idm24648
│ │ │ +0008ddc0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0008ddd0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0008dde0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0008ddf0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0008de00: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0008de10: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0008de20: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0008de30: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0008de40: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0008de50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0008de60: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0008de70: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0008de80: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0008de90: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0008dea0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0008deb0: 7072 653e 3c63 6f64 653e 2320 5265 6d65  pre><code># Reme
│ │ │ +0008dec0: 6469 6174 696f 6e20 6973 2061 7070 6c69  diation is appli
│ │ │ +0008ded0: 6361 626c 6520 6f6e 6c79 2069 6e20 6365  cable only in ce
│ │ │ +0008dee0: 7274 6169 6e20 706c 6174 666f 726d 730a  rtain platforms.
│ │ │ +0008def0: 6966 2064 706b 672d 7175 6572 7920 2d2d  if dpkg-query --
│ │ │ +0008df00: 7368 6f77 202d 2d73 686f 7766 6f72 6d61  show --showforma
│ │ │ +0008df10: 743d 2724 7b64 623a 5374 6174 7573 2d53  t='${db:Status-S
│ │ │ +0008df20: 7461 7475 737d 0a27 2027 6c69 6e75 782d  tatus}.' 'linux-
│ │ │ +0008df30: 6261 7365 2720 3226 6774 3b2f 6465 762f  base' 2&gt;/dev/
│ │ │ +0008df40: 6e75 6c6c 207c 2067 7265 7020 2d71 205e  null | grep -q ^
│ │ │ +0008df50: 696e 7374 616c 6c65 643b 2074 6865 6e0a  installed; then.
│ │ │ +0008df60: 0a44 4542 4941 4e5f 4652 4f4e 5445 4e44  .DEBIAN_FRONTEND
│ │ │ +0008df70: 3d6e 6f6e 696e 7465 7261 6374 6976 6520  =noninteractive 
│ │ │ +0008df80: 6170 742d 6765 7420 696e 7374 616c 6c20  apt-get install 
│ │ │ +0008df90: 2d79 2022 6175 6469 7464 220a 0a65 6c73  -y "auditd"..els
│ │ │ +0008dfa0: 650a 2020 2020 2667 743b 2661 6d70 3b32  e.    &gt;&amp;2
│ │ │ +0008dfb0: 2065 6368 6f20 2752 656d 6564 6961 7469   echo 'Remediati
│ │ │ +0008dfc0: 6f6e 2069 7320 6e6f 7420 6170 706c 6963  on is not applic
│ │ │ +0008dfd0: 6162 6c65 2c20 6e6f 7468 696e 6720 7761  able, nothing wa
│ │ │ +0008dfe0: 7320 646f 6e65 270a 6669 0a3c 2f63 6f64  s done'.fi.</cod
│ │ │ +0008dff0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0008e000: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0008e010: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0008e020: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0008e030: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0008e040: 6d32 3436 3439 2220 7461 6269 6e64 6578  m24649" tabindex
│ │ │ +0008e050: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0008e060: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0008e070: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0008e080: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0008e090: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0008e0a0: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +0008e0b0: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +0008e0c0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0008e0d0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0008e0e0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0008e0f0: 7365 2220 6964 3d22 6964 6d32 3436 3439  se" id="idm24649
│ │ │ +0008e100: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ +0008e110: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ +0008e120: 3d20 2261 7564 6974 6422 0a76 6572 7369  = "auditd".versi
│ │ │ +0008e130: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ +0008e140: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0008e150: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0008e160: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0008e170: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0008e180: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +0008e190: 3436 3530 2220 7461 6269 6e64 6578 3d22  4650" tabindex="
│ │ │ +0008e1a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0008e1b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0008e1c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0008e1d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0008e1e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0008e1f0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0008e200: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0008e210: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0008e220: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0008e230: 6c61 7073 6522 2069 643d 2269 646d 3234  lapse" id="idm24
│ │ │ +0008e240: 3635 3022 3e3c 7461 626c 6520 636c 6173  650"><table clas
│ │ │ +0008e250: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0008e260: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0008e270: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0008e280: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0008e290: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0008e2a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0008e2b0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0008e2c0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0008e2d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0008e2e0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0008e2f0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0008e300: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0008e310: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0008e320: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0008e330: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0008e340: 6c75 6465 2069 6e73 7461 6c6c 5f61 7564  lude install_aud
│ │ │ +0008e350: 6974 640a 0a63 6c61 7373 2069 6e73 7461  itd..class insta
│ │ │ +0008e360: 6c6c 5f61 7564 6974 6420 7b0a 2020 7061  ll_auditd {.  pa
│ │ │ +0008e370: 636b 6167 6520 7b20 2761 7564 6974 6427  ckage { 'auditd'
│ │ │ +0008e380: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +0008e390: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ +0008e3a0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0008e3b0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0008e3c0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0008e3d0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0008e3e0: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0008e3f0: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  0008e400: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  0008e410: 7275 6c65 5f73 6572 7669 6365 5f61 7564  rule_service_aud
│ │ │ @@ -36822,191 +36822,191 @@
│ │ │  0008fd50: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0008fd60: 3234 3834 3822 2074 6162 696e 6465 783d  24848" tabindex=
│ │ │  0008fd70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  0008fd80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  0008fd90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  0008fda0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  0008fdb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0008fdc0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -0008fdd0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -0008fde0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0008fdf0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0008fe00: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0008fe10: 6522 2069 643d 2269 646d 3234 3834 3822  e" id="idm24848"
│ │ │ -0008fe20: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ -0008fe30: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ -0008fe40: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ -0008fe50: 205b 2261 7564 6974 6422 5d0a 3c2f 636f   ["auditd"].</co
│ │ │ -0008fe60: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0008fe70: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0008fe80: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0008fe90: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0008fea0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0008feb0: 646d 3234 3834 3922 2074 6162 696e 6465  dm24849" tabinde
│ │ │ -0008fec0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0008fed0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0008fee0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0008fef0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0008ff00: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0008ff10: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0008ff20: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0008ff30: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0008ff40: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0008ff50: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0008ff60: 6d32 3438 3439 223e 3c74 6162 6c65 2063  m24849"><table c
│ │ │ -0008ff70: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0008ff80: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0008ff90: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0008ffa0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0008ffb0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0008ffc0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0008ffd0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0008ffe0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0008fff0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00090000: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00090010: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00090020: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00090030: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00090040: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00090050: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00090060: 696e 636c 7564 6520 656e 6162 6c65 5f61  include enable_a
│ │ │ -00090070: 7564 6974 640a 0a63 6c61 7373 2065 6e61  uditd..class ena
│ │ │ -00090080: 626c 655f 6175 6469 7464 207b 0a20 2073  ble_auditd {.  s
│ │ │ -00090090: 6572 7669 6365 207b 2761 7564 6974 6427  ervice {'auditd'
│ │ │ -000900a0: 3a0a 2020 2020 656e 6162 6c65 203d 2667  :.    enable =&g
│ │ │ -000900b0: 743b 2074 7275 652c 0a20 2020 2065 6e73  t; true,.    ens
│ │ │ -000900c0: 7572 6520 3d26 6774 3b20 2772 756e 6e69  ure =&gt; 'runni
│ │ │ -000900d0: 6e67 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ng',.  }.}.</cod
│ │ │ -000900e0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -000900f0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00090100: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00090110: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00090120: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00090130: 6d32 3438 3530 2220 7461 6269 6e64 6578  m24850" tabindex
│ │ │ -00090140: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00090150: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00090160: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00090170: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00090180: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00090190: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000901a0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000901b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000901c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000901d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000901e0: 6d32 3438 3530 223e 3c74 6162 6c65 2063  m24850"><table c
│ │ │ -000901f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00090200: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00090210: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00090220: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00090230: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00090240: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00090250: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00090260: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00090270: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00090280: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00090290: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000902a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000902b0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000902c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000902d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000902e0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -000902f0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -00090300: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -00090310: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -00090320: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -00090330: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d  CJIS-5.4.1.1.  -
│ │ │ -00090340: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -00090350: 332e 310a 2020 2d20 4e49 5354 2d38 3030  3.1.  - NIST-800
│ │ │ -00090360: 2d31 3731 2d33 2e33 2e32 0a20 202d 204e  -171-3.3.2.  - N
│ │ │ -00090370: 4953 542d 3830 302d 3137 312d 332e 332e  IST-800-171-3.3.
│ │ │ -00090380: 360a 2020 2d20 4e49 5354 2d38 3030 2d35  6.  - NIST-800-5
│ │ │ -00090390: 332d 4143 2d32 2867 290a 2020 2d20 4e49  3-AC-2(g).  - NI
│ │ │ -000903a0: 5354 2d38 3030 2d35 332d 4143 2d36 2839  ST-800-53-AC-6(9
│ │ │ -000903b0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -000903c0: 332d 4155 2d31 300a 2020 2d20 4e49 5354  3-AU-10.  - NIST
│ │ │ -000903d0: 2d38 3030 2d35 332d 4155 2d31 3228 6329  -800-53-AU-12(c)
│ │ │ -000903e0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000903f0: 2d41 552d 3134 2831 290a 2020 2d20 4e49  -AU-14(1).  - NI
│ │ │ -00090400: 5354 2d38 3030 2d35 332d 4155 2d32 2864  ST-800-53-AU-2(d
│ │ │ -00090410: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090420: 332d 4155 2d33 0a20 202d 204e 4953 542d  3-AU-3.  - NIST-
│ │ │ -00090430: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00090440: 202d 204e 4953 542d 3830 302d 3533 2d53   - NIST-800-53-S
│ │ │ -00090450: 492d 3428 3233 290a 2020 2d20 5043 492d  I-4(23).  - PCI-
│ │ │ -00090460: 4453 532d 5265 712d 3130 2e31 0a20 202d  DSS-Req-10.1.  -
│ │ │ -00090470: 2050 4349 2d44 5353 7634 2d31 302e 320a   PCI-DSSv4-10.2.
│ │ │ -00090480: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00090490: 2e32 2e31 0a20 202d 2065 6e61 626c 655f  .2.1.  - enable_
│ │ │ -000904a0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -000904b0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -000904c0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -000904d0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -000904e0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -000904f0: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00090500: 6963 655f 6175 6469 7464 5f65 6e61 626c  ice_auditd_enabl
│ │ │ -00090510: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ -00090520: 6c65 2061 7564 6974 6420 5365 7276 6963  le auditd Servic
│ │ │ -00090530: 6520 2d20 456e 6162 6c65 2073 6572 7669  e - Enable servi
│ │ │ -00090540: 6365 2061 7564 6974 640a 2020 626c 6f63  ce auditd.  bloc
│ │ │ -00090550: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ -00090560: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00090570: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ -00090580: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ -00090590: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ -000905a0: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ -000905b0: 6175 6469 7464 2053 6572 7669 6365 202d  auditd Service -
│ │ │ -000905c0: 2045 6e61 626c 6520 5365 7276 6963 6520   Enable Service 
│ │ │ -000905d0: 6175 6469 7464 0a20 2020 2061 6e73 6962  auditd.    ansib
│ │ │ -000905e0: 6c65 2e62 7569 6c74 696e 2e73 7973 7465  le.builtin.syste
│ │ │ -000905f0: 6d64 3a0a 2020 2020 2020 6e61 6d65 3a20  md:.      name: 
│ │ │ -00090600: 6175 6469 7464 0a20 2020 2020 2065 6e61  auditd.      ena
│ │ │ -00090610: 626c 6564 3a20 7472 7565 0a20 2020 2020  bled: true.     
│ │ │ -00090620: 2073 7461 7465 3a20 7374 6172 7465 640a   state: started.
│ │ │ -00090630: 2020 2020 2020 6d61 736b 6564 3a20 6661        masked: fa
│ │ │ -00090640: 6c73 650a 2020 2020 7768 656e 3a0a 2020  lse.    when:.  
│ │ │ -00090650: 2020 2d20 2722 6175 6469 7464 2220 696e    - '"auditd" in
│ │ │ -00090660: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00090670: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ -00090680: 0a20 202d 2027 226c 696e 7578 2d62 6173  .  - '"linux-bas
│ │ │ -00090690: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -000906a0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -000906b0: 2d20 2722 6175 6469 7464 2220 696e 2061  - '"auditd" in a
│ │ │ -000906c0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -000906d0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -000906e0: 202d 2043 4a49 532d 352e 342e 312e 310a   - CJIS-5.4.1.1.
│ │ │ -000906f0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -00090700: 2d33 2e33 2e31 0a20 202d 204e 4953 542d  -3.3.1.  - NIST-
│ │ │ -00090710: 3830 302d 3137 312d 332e 332e 320a 2020  800-171-3.3.2.  
│ │ │ -00090720: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -00090730: 2e33 2e36 0a20 202d 204e 4953 542d 3830  .3.6.  - NIST-80
│ │ │ -00090740: 302d 3533 2d41 432d 3228 6729 0a20 202d  0-53-AC-2(g).  -
│ │ │ -00090750: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ -00090760: 3628 3929 0a20 202d 204e 4953 542d 3830  6(9).  - NIST-80
│ │ │ -00090770: 302d 3533 2d41 552d 3130 0a20 202d 204e  0-53-AU-10.  - N
│ │ │ -00090780: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -00090790: 2863 290a 2020 2d20 4e49 5354 2d38 3030  (c).  - NIST-800
│ │ │ -000907a0: 2d35 332d 4155 2d31 3428 3129 0a20 202d  -53-AU-14(1).  -
│ │ │ -000907b0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -000907c0: 3228 6429 0a20 202d 204e 4953 542d 3830  2(d).  - NIST-80
│ │ │ -000907d0: 302d 3533 2d41 552d 330a 2020 2d20 4e49  0-53-AU-3.  - NI
│ │ │ -000907e0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -000907f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090800: 332d 5349 2d34 2832 3329 0a20 202d 2050  3-SI-4(23).  - P
│ │ │ -00090810: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -00090820: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00090830: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00090840: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -00090850: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00090860: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00090870: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00090880: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00090890: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -000908a0: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ -000908b0: 6572 7669 6365 5f61 7564 6974 645f 656e  ervice_auditd_en
│ │ │ -000908c0: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0008fdc0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +0008fdd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0008fde0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0008fdf0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0008fe00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0008fe10: 3234 3834 3822 3e3c 7461 626c 6520 636c  24848"><table cl
│ │ │ +0008fe20: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0008fe30: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0008fe40: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0008fe50: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0008fe60: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0008fe70: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0008fe80: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0008fe90: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0008fea0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0008feb0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0008fec0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0008fed0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0008fee0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0008fef0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0008ff00: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +0008ff10: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +0008ff20: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0008ff30: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +0008ff40: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +0008ff50: 746f 0a20 2074 6167 733a 0a20 202d 2043  to.  tags:.  - C
│ │ │ +0008ff60: 4a49 532d 352e 342e 312e 310a 2020 2d20  JIS-5.4.1.1.  - 
│ │ │ +0008ff70: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ +0008ff80: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ +0008ff90: 3137 312d 332e 332e 320a 2020 2d20 4e49  171-3.3.2.  - NI
│ │ │ +0008ffa0: 5354 2d38 3030 2d31 3731 2d33 2e33 2e36  ST-800-171-3.3.6
│ │ │ +0008ffb0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0008ffc0: 2d41 432d 3228 6729 0a20 202d 204e 4953  -AC-2(g).  - NIS
│ │ │ +0008ffd0: 542d 3830 302d 3533 2d41 432d 3628 3929  T-800-53-AC-6(9)
│ │ │ +0008ffe0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0008fff0: 2d41 552d 3130 0a20 202d 204e 4953 542d  -AU-10.  - NIST-
│ │ │ +00090000: 3830 302d 3533 2d41 552d 3132 2863 290a  800-53-AU-12(c).
│ │ │ +00090010: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00090020: 4155 2d31 3428 3129 0a20 202d 204e 4953  AU-14(1).  - NIS
│ │ │ +00090030: 542d 3830 302d 3533 2d41 552d 3228 6429  T-800-53-AU-2(d)
│ │ │ +00090040: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00090050: 2d41 552d 330a 2020 2d20 4e49 5354 2d38  -AU-3.  - NIST-8
│ │ │ +00090060: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00090070: 2d20 4e49 5354 2d38 3030 2d35 332d 5349  - NIST-800-53-SI
│ │ │ +00090080: 2d34 2832 3329 0a20 202d 2050 4349 2d44  -4(23).  - PCI-D
│ │ │ +00090090: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ +000900a0: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ +000900b0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +000900c0: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ +000900d0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +000900e0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +000900f0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00090100: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00090110: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00090120: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ +00090130: 6365 5f61 7564 6974 645f 656e 6162 6c65  ce_auditd_enable
│ │ │ +00090140: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ +00090150: 6520 6175 6469 7464 2053 6572 7669 6365  e auditd Service
│ │ │ +00090160: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ +00090170: 6520 6175 6469 7464 0a20 2062 6c6f 636b  e auditd.  block
│ │ │ +00090180: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +00090190: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +000901a0: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +000901b0: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +000901c0: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +000901d0: 2d20 6e61 6d65 3a20 456e 6162 6c65 2061  - name: Enable a
│ │ │ +000901e0: 7564 6974 6420 5365 7276 6963 6520 2d20  uditd Service - 
│ │ │ +000901f0: 456e 6162 6c65 2053 6572 7669 6365 2061  Enable Service a
│ │ │ +00090200: 7564 6974 640a 2020 2020 616e 7369 626c  uditd.    ansibl
│ │ │ +00090210: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ +00090220: 643a 0a20 2020 2020 206e 616d 653a 2061  d:.      name: a
│ │ │ +00090230: 7564 6974 640a 2020 2020 2020 656e 6162  uditd.      enab
│ │ │ +00090240: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ +00090250: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ +00090260: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ +00090270: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ +00090280: 202d 2027 2261 7564 6974 6422 2069 6e20   - '"auditd" in 
│ │ │ +00090290: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +000902a0: 636b 6167 6573 270a 2020 7768 656e 3a0a  ckages'.  when:.
│ │ │ +000902b0: 2020 2d20 2722 6c69 6e75 782d 6261 7365    - '"linux-base
│ │ │ +000902c0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +000902d0: 7473 2e70 6163 6b61 6765 7327 0a20 202d  ts.packages'.  -
│ │ │ +000902e0: 2027 2261 7564 6974 6422 2069 6e20 616e   '"auditd" in an
│ │ │ +000902f0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00090300: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00090310: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20  - CJIS-5.4.1.1. 
│ │ │ +00090320: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00090330: 332e 332e 310a 2020 2d20 4e49 5354 2d38  3.3.1.  - NIST-8
│ │ │ +00090340: 3030 2d31 3731 2d33 2e33 2e32 0a20 202d  00-171-3.3.2.  -
│ │ │ +00090350: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +00090360: 332e 360a 2020 2d20 4e49 5354 2d38 3030  3.6.  - NIST-800
│ │ │ +00090370: 2d35 332d 4143 2d32 2867 290a 2020 2d20  -53-AC-2(g).  - 
│ │ │ +00090380: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00090390: 2839 290a 2020 2d20 4e49 5354 2d38 3030  (9).  - NIST-800
│ │ │ +000903a0: 2d35 332d 4155 2d31 300a 2020 2d20 4e49  -53-AU-10.  - NI
│ │ │ +000903b0: 5354 2d38 3030 2d35 332d 4155 2d31 3228  ST-800-53-AU-12(
│ │ │ +000903c0: 6329 0a20 202d 204e 4953 542d 3830 302d  c).  - NIST-800-
│ │ │ +000903d0: 3533 2d41 552d 3134 2831 290a 2020 2d20  53-AU-14(1).  - 
│ │ │ +000903e0: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +000903f0: 2864 290a 2020 2d20 4e49 5354 2d38 3030  (d).  - NIST-800
│ │ │ +00090400: 2d35 332d 4155 2d33 0a20 202d 204e 4953  -53-AU-3.  - NIS
│ │ │ +00090410: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00090420: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00090430: 2d53 492d 3428 3233 290a 2020 2d20 5043  -SI-4(23).  - PC
│ │ │ +00090440: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ +00090450: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +00090460: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +00090470: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ +00090480: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00090490: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +000904a0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +000904b0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +000904c0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +000904d0: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ +000904e0: 7276 6963 655f 6175 6469 7464 5f65 6e61  rvice_auditd_ena
│ │ │ +000904f0: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +00090500: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00090510: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00090520: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00090530: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00090540: 6172 6765 743d 2223 6964 6d32 3438 3439  arget="#idm24849
│ │ │ +00090550: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00090560: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00090570: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00090580: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00090590: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +000905a0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000905b0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +000905c0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +000905d0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000905e0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000905f0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00090600: 3d22 6964 6d32 3438 3439 223e 3c70 7265  ="idm24849"><pre
│ │ │ +00090610: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ +00090620: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ +00090630: 5d0a 656e 6162 6c65 6420 3d20 5b22 6175  ].enabled = ["au
│ │ │ +00090640: 6469 7464 225d 0a3c 2f63 6f64 653e 3c2f  ditd"].</code></
│ │ │ +00090650: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00090660: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00090670: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00090680: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00090690: 2d74 6172 6765 743d 2223 6964 6d32 3438  -target="#idm248
│ │ │ +000906a0: 3530 2220 7461 6269 6e64 6578 3d22 3022  50" tabindex="0"
│ │ │ +000906b0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000906c0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000906d0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000906e0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000906f0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00090700: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00090710: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00090720: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00090730: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00090740: 7073 6522 2069 643d 2269 646d 3234 3835  pse" id="idm2485
│ │ │ +00090750: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ +00090760: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00090770: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00090780: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00090790: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +000907a0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +000907b0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000907c0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +000907d0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000907e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +000907f0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00090800: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00090810: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00090820: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00090830: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00090840: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00090850: 6465 2065 6e61 626c 655f 6175 6469 7464  de enable_auditd
│ │ │ +00090860: 0a0a 636c 6173 7320 656e 6162 6c65 5f61  ..class enable_a
│ │ │ +00090870: 7564 6974 6420 7b0a 2020 7365 7276 6963  uditd {.  servic
│ │ │ +00090880: 6520 7b27 6175 6469 7464 273a 0a20 2020  e {'auditd':.   
│ │ │ +00090890: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ +000908a0: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ +000908b0: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ +000908c0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  000908d0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  000908e0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  000908f0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00090900: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00090910: 6c65 3e3c 2f64 6976 3e3c 6469 7620 6964  le></div><div id
│ │ │  00090920: 3d22 7265 6172 2d6d 6174 7465 7222 3e3c  ="rear-matter"><
│ │ │  00090930: 6469 7620 636c 6173 733d 2272 6f77 2074  div class="row t
│ │ │ ├── html2text {}
│ │ │ │ @@ -1818,31 +1818,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1879,14 +1862,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ssyysslloogg--nngg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The syslog-ng service (in replacement of rsyslog) provides syslog-style logging
│ │ │ │  by default on Debian. The syslog-ng service can be enabled with the following
│ │ │ │  command:
│ │ │ │  $ sudo systemctl enable syslog-ng.service
│ │ │ │  Rationale:  The syslog-ng service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │ @@ -1902,31 +1902,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1962,14 +1945,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1982,31 +1982,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2043,14 +2026,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 12. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2067,31 +2067,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2127,14 +2110,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3938,31 +3938,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4003,14 +3986,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Deprecated services   Group contains 5 rules
│ │ │ │  _[_r_e_f_]   Some deprecated software services impact the overall system security
│ │ │ │  due to their behavior (leak of confidentiality in network exchange, usage as
│ │ │ │  uncontrolled communication channel, risk associated with the service due to its
│ │ │ │  old age, etc.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee iinneett--bbaasseedd tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The inet-based telnet daemon should be uninstalled.
│ │ │ │ @@ -4034,26 +4034,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4078,33 +4066,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4126,34 +4114,34 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ -uninstalled.
│ │ │ │ -           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ -Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ -           cryptographic mechanisms integrated in NTP.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ +include remove_nis
│ │ │ │  
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ +uninstalled.
│ │ │ │ +           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ +Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ +           cryptographic mechanisms integrated in NTP.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4175,14 +4163,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -4200,26 +4200,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4244,14 +4232,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -4270,26 +4270,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4314,14 +4302,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a
│ │ │ │  network. Computer clocks are not very accurate, so time will drift
│ │ │ │  unpredictably on unmanaged systems. Central time protocols can be used both to
│ │ │ │  ensure that time is consistent among a network of systems, and that their time
│ │ │ │  is consistent with the outside world.
│ │ │ │  
│ │ │ │ @@ -4383,31 +4383,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4446,14 +4429,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee tthhee NNTTPP DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ntp service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable ntp.service
│ │ │ │              Enabling the ntp service ensures that the ntp service will be
│ │ │ │              running and that the system will synchronize its time to any
│ │ │ │              servers specified. This is important whether the system is
│ │ │ │              configured to be a client (and synchronize only its own clock) or
│ │ │ │ @@ -4473,31 +4473,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4541,14 +4524,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5431,31 +5431,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5510,14 +5493,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing
│ │ │ │  System, as it is responsible for writing audit records to disk. The auditd
│ │ │ │  service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be
│ │ │ │              difficult to establish, correlate, and investigate the events
│ │ │ │ @@ -5579,31 +5579,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5669,11 +5652,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-standard.html
│ │ │ @@ -19788,179 +19788,179 @@
│ │ │  0004d4b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0004d4c0: 6964 6d31 3031 3134 2220 7461 6269 6e64  idm10114" tabind
│ │ │  0004d4d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  0004d4e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  0004d4f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  0004d500: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  0004d510: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0004d520: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -0004d530: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -0004d540: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0004d550: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0004d560: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0004d570: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ -0004d580: 3134 223e 3c70 7265 3e3c 636f 6465 3e0a  14"><pre><code>.
│ │ │ -0004d590: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ -0004d5a0: 6520 3d20 2272 7379 736c 6f67 220a 7665  e = "rsyslog".ve
│ │ │ -0004d5b0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -0004d5c0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0004d5d0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0004d5e0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0004d5f0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0004d600: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0004d610: 646d 3130 3131 3522 2074 6162 696e 6465  dm10115" tabinde
│ │ │ -0004d620: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0004d630: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0004d640: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0004d650: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0004d660: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0004d670: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0004d680: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0004d690: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0004d6a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0004d6b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0004d6c0: 6d31 3031 3135 223e 3c74 6162 6c65 2063  m10115"><table c
│ │ │ -0004d6d0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0004d6e0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0004d6f0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0004d700: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0004d710: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0004d720: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0004d730: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0004d740: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0004d750: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0004d760: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0004d770: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0004d780: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0004d790: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -0004d7a0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0004d7b0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0004d7c0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ -0004d7d0: 7273 7973 6c6f 670a 0a63 6c61 7373 2069  rsyslog..class i
│ │ │ -0004d7e0: 6e73 7461 6c6c 5f72 7379 736c 6f67 207b  nstall_rsyslog {
│ │ │ -0004d7f0: 0a20 2070 6163 6b61 6765 207b 2027 7273  .  package { 'rs
│ │ │ -0004d800: 7973 6c6f 6727 3a0a 2020 2020 656e 7375  yslog':.    ensu
│ │ │ -0004d810: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -0004d820: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -0004d830: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0004d840: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0004d850: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0004d860: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0004d870: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0004d880: 646d 3130 3131 3622 2074 6162 696e 6465  dm10116" tabinde
│ │ │ -0004d890: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0004d8a0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0004d8b0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0004d8c0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0004d8d0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0004d8e0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0004d8f0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0004d900: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0004d910: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0004d920: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0004d930: 646d 3130 3131 3622 3e3c 7461 626c 6520  dm10116"><table 
│ │ │ -0004d940: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0004d950: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0004d960: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0004d970: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0004d980: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0004d990: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0004d9a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0004d9b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0004d9c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0004d9d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0004d9e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0004d9f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0004da00: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0004da10: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0004da20: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0004da30: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -0004da40: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -0004da50: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -0004da60: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -0004da70: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -0004da80: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -0004da90: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -0004daa0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -0004dab0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0004dac0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0004dad0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -0004dae0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0004daf0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0004db00: 6167 655f 7273 7973 6c6f 675f 696e 7374  age_rsyslog_inst
│ │ │ -0004db10: 616c 6c65 640a 0a2d 206e 616d 653a 2045  alled..- name: E
│ │ │ -0004db20: 6e73 7572 6520 7273 7973 6c6f 6720 6973  nsure rsyslog is
│ │ │ -0004db30: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -0004db40: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0004db50: 7273 7973 6c6f 670a 2020 2020 7374 6174  rsyslog.    stat
│ │ │ -0004db60: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ -0004db70: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -0004db80: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -0004db90: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -0004dba0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0004dbb0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -0004dbc0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -0004dbd0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0004dbe0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0004dbf0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -0004dc00: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -0004dc10: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0004dc20: 202d 2070 6163 6b61 6765 5f72 7379 736c   - package_rsysl
│ │ │ -0004dc30: 6f67 5f69 6e73 7461 6c6c 6564 0a3c 2f63  og_installed.</c
│ │ │ -0004dc40: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0004dc50: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0004dc60: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0004dc70: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0004dc80: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0004dc90: 6964 6d31 3031 3137 2220 7461 6269 6e64  idm10117" tabind
│ │ │ -0004dca0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0004dcb0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0004dcc0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0004dcd0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0004dce0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0004dcf0: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -0004dd00: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -0004dd10: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0004dd20: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0004dd30: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0004dd40: 3130 3131 3722 3e3c 7461 626c 6520 636c  10117"><table cl
│ │ │ -0004dd50: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0004dd60: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0004dd70: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0004dd80: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0004dd90: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0004dda0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0004ddb0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0004ddc0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0004ddd0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0004dde0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0004ddf0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0004de00: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0004de10: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -0004de20: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0004de30: 626c 653e 3c70 7265 3e3c 636f 6465 3e23  ble><pre><code>#
│ │ │ -0004de40: 2052 656d 6564 6961 7469 6f6e 2069 7320   Remediation is 
│ │ │ -0004de50: 6170 706c 6963 6162 6c65 206f 6e6c 7920  applicable only 
│ │ │ -0004de60: 696e 2063 6572 7461 696e 2070 6c61 7466  in certain platf
│ │ │ -0004de70: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565  orms.if dpkg-que
│ │ │ -0004de80: 7279 202d 2d73 686f 7720 2d2d 7368 6f77  ry --show --show
│ │ │ -0004de90: 666f 726d 6174 3d27 247b 6462 3a53 7461  format='${db:Sta
│ │ │ -0004dea0: 7475 732d 5374 6174 7573 7d0a 2720 276c  tus-Status}.' 'l
│ │ │ -0004deb0: 696e 7578 2d62 6173 6527 2032 2667 743b  inux-base' 2&gt;
│ │ │ -0004dec0: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570  /dev/null | grep
│ │ │ -0004ded0: 202d 7120 5e69 6e73 7461 6c6c 6564 3b20   -q ^installed; 
│ │ │ -0004dee0: 7468 656e 0a0a 4445 4249 414e 5f46 524f  then..DEBIAN_FRO
│ │ │ -0004def0: 4e54 454e 443d 6e6f 6e69 6e74 6572 6163  NTEND=noninterac
│ │ │ -0004df00: 7469 7665 2061 7074 2d67 6574 2069 6e73  tive apt-get ins
│ │ │ -0004df10: 7461 6c6c 202d 7920 2272 7379 736c 6f67  tall -y "rsyslog
│ │ │ -0004df20: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ -0004df30: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ -0004df40: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ -0004df50: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ -0004df60: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +0004d520: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +0004d530: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +0004d540: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0004d550: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0004d560: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0004d570: 6964 6d31 3031 3134 223e 3c74 6162 6c65  idm10114"><table
│ │ │ +0004d580: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0004d590: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0004d5a0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0004d5b0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0004d5c0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0004d5d0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0004d5e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0004d5f0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0004d600: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0004d610: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0004d620: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0004d630: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0004d640: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0004d650: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0004d660: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0004d670: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +0004d680: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +0004d690: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +0004d6a0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +0004d6b0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +0004d6c0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0004d6d0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0004d6e0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0004d6f0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0004d700: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0004d710: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0004d720: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0004d730: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +0004d740: 6b61 6765 5f72 7379 736c 6f67 5f69 6e73  kage_rsyslog_ins
│ │ │ +0004d750: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ +0004d760: 456e 7375 7265 2072 7379 736c 6f67 2069  Ensure rsyslog i
│ │ │ +0004d770: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ +0004d780: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0004d790: 2072 7379 736c 6f67 0a20 2020 2073 7461   rsyslog.    sta
│ │ │ +0004d7a0: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ +0004d7b0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +0004d7c0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0004d7d0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +0004d7e0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +0004d7f0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0004d800: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +0004d810: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0004d820: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0004d830: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +0004d840: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +0004d850: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0004d860: 2020 2d20 7061 636b 6167 655f 7273 7973    - package_rsys
│ │ │ +0004d870: 6c6f 675f 696e 7374 616c 6c65 640a 3c2f  log_installed.</
│ │ │ +0004d880: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0004d890: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0004d8a0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0004d8b0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0004d8c0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0004d8d0: 2369 646d 3130 3131 3522 2074 6162 696e  #idm10115" tabin
│ │ │ +0004d8e0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0004d8f0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0004d900: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0004d910: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0004d920: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0004d930: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +0004d940: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +0004d950: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0004d960: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0004d970: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0004d980: 6d31 3031 3135 223e 3c74 6162 6c65 2063  m10115"><table c
│ │ │ +0004d990: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0004d9a0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0004d9b0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0004d9c0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0004d9d0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0004d9e0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0004d9f0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0004da00: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0004da10: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0004da20: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0004da30: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0004da40: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0004da50: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +0004da60: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0004da70: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0004da80: 2320 5265 6d65 6469 6174 696f 6e20 6973  # Remediation is
│ │ │ +0004da90: 2061 7070 6c69 6361 626c 6520 6f6e 6c79   applicable only
│ │ │ +0004daa0: 2069 6e20 6365 7274 6169 6e20 706c 6174   in certain plat
│ │ │ +0004dab0: 666f 726d 730a 6966 2064 706b 672d 7175  forms.if dpkg-qu
│ │ │ +0004dac0: 6572 7920 2d2d 7368 6f77 202d 2d73 686f  ery --show --sho
│ │ │ +0004dad0: 7766 6f72 6d61 743d 2724 7b64 623a 5374  wformat='${db:St
│ │ │ +0004dae0: 6174 7573 2d53 7461 7475 737d 0a27 2027  atus-Status}.' '
│ │ │ +0004daf0: 6c69 6e75 782d 6261 7365 2720 3226 6774  linux-base' 2&gt
│ │ │ +0004db00: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265  ;/dev/null | gre
│ │ │ +0004db10: 7020 2d71 205e 696e 7374 616c 6c65 643b  p -q ^installed;
│ │ │ +0004db20: 2074 6865 6e0a 0a44 4542 4941 4e5f 4652   then..DEBIAN_FR
│ │ │ +0004db30: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +0004db40: 6374 6976 6520 6170 742d 6765 7420 696e  ctive apt-get in
│ │ │ +0004db50: 7374 616c 6c20 2d79 2022 7273 7973 6c6f  stall -y "rsyslo
│ │ │ +0004db60: 6722 0a0a 656c 7365 0a20 2020 2026 6774  g"..else.    &gt
│ │ │ +0004db70: 3b26 616d 703b 3220 6563 686f 2027 5265  ;&amp;2 echo 'Re
│ │ │ +0004db80: 6d65 6469 6174 696f 6e20 6973 206e 6f74  mediation is not
│ │ │ +0004db90: 2061 7070 6c69 6361 626c 652c 206e 6f74   applicable, not
│ │ │ +0004dba0: 6869 6e67 2077 6173 2064 6f6e 6527 0a66  hing was done'.f
│ │ │ +0004dbb0: 690a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  i.</code></pre><
│ │ │ +0004dbc0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0004dbd0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0004dbe0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0004dbf0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0004dc00: 6574 3d22 2369 646d 3130 3131 3622 2074  et="#idm10116" t
│ │ │ +0004dc10: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0004dc20: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0004dc30: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0004dc40: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0004dc50: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0004dc60: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0004dc70: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +0004dc80: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +0004dc90: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0004dca0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0004dcb0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0004dcc0: 646d 3130 3131 3622 3e3c 7072 653e 3c63  dm10116"><pre><c
│ │ │ +0004dcd0: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ +0004dce0: 5d0a 6e61 6d65 203d 2022 7273 7973 6c6f  ].name = "rsyslo
│ │ │ +0004dcf0: 6722 0a76 6572 7369 6f6e 203d 2022 2a22  g".version = "*"
│ │ │ +0004dd00: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0004dd10: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0004dd20: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0004dd30: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0004dd40: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0004dd50: 743d 2223 6964 6d31 3031 3137 2220 7461  t="#idm10117" ta
│ │ │ +0004dd60: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0004dd70: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0004dd80: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0004dd90: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0004dda0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0004ddb0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0004ddc0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +0004ddd0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0004dde0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0004ddf0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0004de00: 643d 2269 646d 3130 3131 3722 3e3c 7461  d="idm10117"><ta
│ │ │ +0004de10: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0004de20: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0004de30: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0004de40: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0004de50: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0004de60: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0004de70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0004de80: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0004de90: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0004dea0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0004deb0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0004dec0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0004ded0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0004dee0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0004def0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0004df00: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ +0004df10: 7461 6c6c 5f72 7379 736c 6f67 0a0a 636c  tall_rsyslog..cl
│ │ │ +0004df20: 6173 7320 696e 7374 616c 6c5f 7273 7973  ass install_rsys
│ │ │ +0004df30: 6c6f 6720 7b0a 2020 7061 636b 6167 6520  log {.  package 
│ │ │ +0004df40: 7b20 2772 7379 736c 6f67 273a 0a20 2020  { 'rsyslog':.   
│ │ │ +0004df50: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +0004df60: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │  0004df70: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  0004df80: 6469 763e 3c2f 6469 763e 3c2f 7464 3e3c  div></div></td><
│ │ │  0004df90: 2f74 723e 3c2f 7462 6f64 793e 3c2f 7461  /tr></tbody></ta
│ │ │  0004dfa0: 626c 653e 3c2f 7464 3e3c 2f74 723e 3c74  ble></td></tr><t
│ │ │  0004dfb0: 7220 6461 7461 2d74 742d 6964 3d22 7863  r data-tt-id="xc
│ │ │  0004dfc0: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  0004dfd0: 6374 2e63 6f6e 7465 6e74 5f72 756c 655f  ct.content_rule_
│ │ │ @@ -20190,149 +20190,149 @@
│ │ │  0004edd0: 743d 2223 6964 6d31 3032 3030 2220 7461  t="#idm10200" ta
│ │ │  0004ede0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0004edf0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0004ee00: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0004ee10: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0004ee20: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0004ee30: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0004ee40: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -0004ee50: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0004ee60: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0004ee70: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0004ee80: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0004ee90: 6d31 3032 3030 223e 3c70 7265 3e3c 636f  m10200"><pre><co
│ │ │ -0004eea0: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -0004eeb0: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -0004eec0: 6162 6c65 6420 3d20 5b22 7273 7973 6c6f  abled = ["rsyslo
│ │ │ -0004eed0: 6722 5d0a 3c2f 636f 6465 3e3c 2f70 7265  g"].</code></pre
│ │ │ -0004eee0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0004eef0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0004ef00: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0004ef10: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0004ef20: 7267 6574 3d22 2369 646d 3130 3230 3122  rget="#idm10201"
│ │ │ -0004ef30: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0004ef40: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0004ef50: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0004ef60: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0004ef70: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0004ef80: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0004ef90: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0004efa0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0004efb0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0004efc0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0004efd0: 2220 6964 3d22 6964 6d31 3032 3031 223e  " id="idm10201">
│ │ │ -0004efe0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0004eff0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0004f000: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0004f010: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0004f020: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0004f030: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0004f040: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0004f050: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0004f060: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0004f070: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0004f080: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0004f090: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0004f0a0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0004f0b0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -0004f0c0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0004f0d0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -0004f0e0: 656e 6162 6c65 5f72 7379 736c 6f67 0a0a  enable_rsyslog..
│ │ │ -0004f0f0: 636c 6173 7320 656e 6162 6c65 5f72 7379  class enable_rsy
│ │ │ -0004f100: 736c 6f67 207b 0a20 2073 6572 7669 6365  slog {.  service
│ │ │ -0004f110: 207b 2772 7379 736c 6f67 273a 0a20 2020   {'rsyslog':.   
│ │ │ -0004f120: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ -0004f130: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ -0004f140: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ -0004f150: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0004f160: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0004f170: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0004f180: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0004f190: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0004f1a0: 7461 7267 6574 3d22 2369 646d 3130 3230  target="#idm1020
│ │ │ -0004f1b0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -0004f1c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0004f1d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0004f1e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0004f1f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0004f200: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0004f210: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -0004f220: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0004f230: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0004f240: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0004f250: 7073 6522 2069 643d 2269 646d 3130 3230  pse" id="idm1020
│ │ │ -0004f260: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ -0004f270: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0004f280: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0004f290: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0004f2a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0004f2b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0004f2c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0004f2d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0004f2e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0004f2f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0004f300: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0004f310: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0004f320: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0004f330: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0004f340: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0004f350: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -0004f360: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -0004f370: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -0004f380: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -0004f390: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -0004f3a0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0004f3b0: 3830 302d 3533 2d41 552d 3428 3129 0a20  800-53-AU-4(1). 
│ │ │ -0004f3c0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0004f3d0: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -0004f3e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0004f3f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0004f400: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0004f410: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0004f420: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0004f430: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ -0004f440: 7276 6963 655f 7273 7973 6c6f 675f 656e  rvice_rsyslog_en
│ │ │ -0004f450: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ -0004f460: 6e61 626c 6520 7273 7973 6c6f 6720 5365  nable rsyslog Se
│ │ │ -0004f470: 7276 6963 6520 2d20 456e 6162 6c65 2073  rvice - Enable s
│ │ │ -0004f480: 6572 7669 6365 2072 7379 736c 6f67 0a20  ervice rsyslog. 
│ │ │ -0004f490: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ -0004f4a0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -0004f4b0: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ -0004f4c0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -0004f4d0: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ -0004f4e0: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ -0004f4f0: 6162 6c65 2072 7379 736c 6f67 2053 6572  able rsyslog Ser
│ │ │ -0004f500: 7669 6365 202d 2045 6e61 626c 6520 5365  vice - Enable Se
│ │ │ -0004f510: 7276 6963 6520 7273 7973 6c6f 670a 2020  rvice rsyslog.  
│ │ │ -0004f520: 2020 616e 7369 626c 652e 6275 696c 7469    ansible.builti
│ │ │ -0004f530: 6e2e 7379 7374 656d 643a 0a20 2020 2020  n.systemd:.     
│ │ │ -0004f540: 206e 616d 653a 2072 7379 736c 6f67 0a20   name: rsyslog. 
│ │ │ -0004f550: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ -0004f560: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ -0004f570: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ -0004f580: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ -0004f590: 7768 656e 3a0a 2020 2020 2d20 2722 7273  when:.    - '"rs
│ │ │ -0004f5a0: 7973 6c6f 6722 2069 6e20 616e 7369 626c  yslog" in ansibl
│ │ │ -0004f5b0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -0004f5c0: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ -0004f5d0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -0004f5e0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -0004f5f0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -0004f600: 4953 542d 3830 302d 3533 2d41 552d 3428  IST-800-53-AU-4(
│ │ │ -0004f610: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -0004f620: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -0004f630: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0004f640: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0004f650: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0004f660: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0004f670: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0004f680: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0004f690: 2d20 7365 7276 6963 655f 7273 7973 6c6f  - service_rsyslo
│ │ │ -0004f6a0: 675f 656e 6162 6c65 640a 3c2f 636f 6465  g_enabled.</code
│ │ │ +0004ee40: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0004ee50: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0004ee60: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0004ee70: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0004ee80: 6964 3d22 6964 6d31 3032 3030 223e 3c74  id="idm10200"><t
│ │ │ +0004ee90: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0004eea0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0004eeb0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0004eec0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0004eed0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0004eee0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0004eef0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0004ef00: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0004ef10: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0004ef20: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0004ef30: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0004ef40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0004ef50: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0004ef60: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0004ef70: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0004ef80: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +0004ef90: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0004efa0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +0004efb0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +0004efc0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +0004efd0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0004efe0: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +0004eff0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0004f000: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +0004f010: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0004f020: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0004f030: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0004f040: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0004f050: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0004f060: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +0004f070: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ +0004f080: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ +0004f090: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ +0004f0a0: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ +0004f0b0: 6520 7273 7973 6c6f 670a 2020 626c 6f63  e rsyslog.  bloc
│ │ │ +0004f0c0: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ +0004f0d0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0004f0e0: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ +0004f0f0: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ +0004f100: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ +0004f110: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ +0004f120: 7273 7973 6c6f 6720 5365 7276 6963 6520  rsyslog Service 
│ │ │ +0004f130: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ +0004f140: 2072 7379 736c 6f67 0a20 2020 2061 6e73   rsyslog.    ans
│ │ │ +0004f150: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +0004f160: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +0004f170: 3a20 7273 7973 6c6f 670a 2020 2020 2020  : rsyslog.      
│ │ │ +0004f180: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ +0004f190: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ +0004f1a0: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ +0004f1b0: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ +0004f1c0: 0a20 2020 202d 2027 2272 7379 736c 6f67  .    - '"rsyslog
│ │ │ +0004f1d0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0004f1e0: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ +0004f1f0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +0004f200: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +0004f210: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0004f220: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0004f230: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ +0004f240: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0004f250: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0004f260: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0004f270: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0004f280: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0004f290: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0004f2a0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0004f2b0: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +0004f2c0: 7669 6365 5f72 7379 736c 6f67 5f65 6e61  vice_rsyslog_ena
│ │ │ +0004f2d0: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +0004f2e0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0004f2f0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0004f300: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0004f310: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0004f320: 6172 6765 743d 2223 6964 6d31 3032 3031  arget="#idm10201
│ │ │ +0004f330: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0004f340: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0004f350: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0004f360: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0004f370: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0004f380: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0004f390: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +0004f3a0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +0004f3b0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0004f3c0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0004f3d0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0004f3e0: 3d22 6964 6d31 3032 3031 223e 3c70 7265  ="idm10201"><pre
│ │ │ +0004f3f0: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ +0004f400: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ +0004f410: 5d0a 656e 6162 6c65 6420 3d20 5b22 7273  ].enabled = ["rs
│ │ │ +0004f420: 7973 6c6f 6722 5d0a 3c2f 636f 6465 3e3c  yslog"].</code><
│ │ │ +0004f430: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0004f440: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0004f450: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0004f460: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0004f470: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ +0004f480: 3230 3222 2074 6162 696e 6465 783d 2230  202" tabindex="0
│ │ │ +0004f490: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0004f4a0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0004f4b0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0004f4c0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0004f4d0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0004f4e0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0004f4f0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0004f500: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0004f510: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0004f520: 6170 7365 2220 6964 3d22 6964 6d31 3032  apse" id="idm102
│ │ │ +0004f530: 3032 223e 3c74 6162 6c65 2063 6c61 7373  02"><table class
│ │ │ +0004f540: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0004f550: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0004f560: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0004f570: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0004f580: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0004f590: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0004f5a0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0004f5b0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0004f5c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0004f5d0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0004f5e0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0004f5f0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0004f600: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +0004f610: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0004f620: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +0004f630: 7564 6520 656e 6162 6c65 5f72 7379 736c  ude enable_rsysl
│ │ │ +0004f640: 6f67 0a0a 636c 6173 7320 656e 6162 6c65  og..class enable
│ │ │ +0004f650: 5f72 7379 736c 6f67 207b 0a20 2073 6572  _rsyslog {.  ser
│ │ │ +0004f660: 7669 6365 207b 2772 7379 736c 6f67 273a  vice {'rsyslog':
│ │ │ +0004f670: 0a20 2020 2065 6e61 626c 6520 3d26 6774  .    enable =&gt
│ │ │ +0004f680: 3b20 7472 7565 2c0a 2020 2020 656e 7375  ; true,.    ensu
│ │ │ +0004f690: 7265 203d 2667 743b 2027 7275 6e6e 696e  re =&gt; 'runnin
│ │ │ +0004f6a0: 6727 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  g',.  }.}.</code
│ │ │  0004f6b0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  0004f6c0: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  0004f6d0: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  0004f6e0: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  0004f6f0: 7474 2d69 643d 2263 6869 6c64 7265 6e2d  tt-id="children-
│ │ │  0004f700: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  0004f710: 6a65 6374 2e63 6f6e 7465 6e74 5f67 726f  ject.content_gro
│ │ │ @@ -27974,182 +27974,182 @@
│ │ │  0006d450: 743d 2223 6964 6d31 3934 3436 2220 7461  t="#idm19446" ta
│ │ │  0006d460: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0006d470: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0006d480: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0006d490: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0006d4a0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0006d4b0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0006d4c0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -0006d4d0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0006d4e0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0006d4f0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0006d500: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0006d510: 6d31 3934 3436 223e 3c70 7265 3e3c 636f  m19446"><pre><co
│ │ │ -0006d520: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ -0006d530: 0a6e 616d 6520 3d20 2263 726f 6e22 0a76  .name = "cron".v
│ │ │ -0006d540: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -0006d550: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0006d560: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0006d570: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0006d580: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0006d590: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0006d5a0: 6964 6d31 3934 3437 2220 7461 6269 6e64  idm19447" tabind
│ │ │ -0006d5b0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0006d5c0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0006d5d0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0006d5e0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0006d5f0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0006d600: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0006d610: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0006d620: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0006d630: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0006d640: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0006d650: 646d 3139 3434 3722 3e3c 7461 626c 6520  dm19447"><table 
│ │ │ -0006d660: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0006d670: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0006d680: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0006d690: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0006d6a0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0006d6b0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006d6c0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0006d6d0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0006d6e0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0006d6f0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0006d700: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0006d710: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0006d720: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0006d730: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0006d740: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0006d750: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0006d760: 5f63 726f 6e0a 0a63 6c61 7373 2069 6e73  _cron..class ins
│ │ │ -0006d770: 7461 6c6c 5f63 726f 6e20 7b0a 2020 7061  tall_cron {.  pa
│ │ │ -0006d780: 636b 6167 6520 7b20 2763 726f 6e27 3a0a  ckage { 'cron':.
│ │ │ -0006d790: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -0006d7a0: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -0006d7b0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0006d7c0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0006d7d0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0006d7e0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0006d7f0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0006d800: 7267 6574 3d22 2369 646d 3139 3434 3822  rget="#idm19448"
│ │ │ -0006d810: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0006d820: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0006d830: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0006d840: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0006d850: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0006d860: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0006d870: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -0006d880: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0006d890: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0006d8a0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0006d8b0: 6522 2069 643d 2269 646d 3139 3434 3822  e" id="idm19448"
│ │ │ -0006d8c0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0006d8d0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0006d8e0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0006d8f0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0006d900: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0006d910: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0006d920: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0006d930: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0006d940: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0006d950: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0006d960: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0006d970: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0006d980: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0006d990: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0006d9a0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0006d9b0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0006d9c0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -0006d9d0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -0006d9e0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -0006d9f0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -0006da00: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -0006da10: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -0006da20: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ -0006da30: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -0006da40: 2e36 0a20 202d 2065 6e61 626c 655f 7374  .6.  - enable_st
│ │ │ -0006da50: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0006da60: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0006da70: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0006da80: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0006da90: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006daa0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -0006dab0: 655f 6372 6f6e 5f69 6e73 7461 6c6c 6564  e_cron_installed
│ │ │ -0006dac0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0006dad0: 2063 726f 6e20 6973 2069 6e73 7461 6c6c   cron is install
│ │ │ -0006dae0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -0006daf0: 2020 6e61 6d65 3a20 6372 6f6e 0a20 2020    name: cron.   
│ │ │ -0006db00: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0006db10: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0006db20: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0006db30: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0006db40: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0006db50: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0006db60: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0006db70: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0006db80: 2d32 2e32 2e36 0a20 202d 2065 6e61 626c  -2.2.6.  - enabl
│ │ │ -0006db90: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0006dba0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0006dbb0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0006dbc0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0006dbd0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0006dbe0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0006dbf0: 636b 6167 655f 6372 6f6e 5f69 6e73 7461  ckage_cron_insta
│ │ │ -0006dc00: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ -0006dc10: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -0006dc20: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -0006dc30: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -0006dc40: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -0006dc50: 6172 6765 743d 2223 6964 6d31 3934 3439  arget="#idm19449
│ │ │ -0006dc60: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -0006dc70: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -0006dc80: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -0006dc90: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -0006dca0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -0006dcb0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0006dcc0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -0006dcd0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0006dce0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0006dcf0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0006dd00: 2069 643d 2269 646d 3139 3434 3922 3e3c   id="idm19449"><
│ │ │ -0006dd10: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0006dd20: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0006dd30: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0006dd40: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0006dd50: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0006dd60: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0006dd70: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0006dd80: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0006dd90: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0006dda0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0006ddb0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0006ddc0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0006ddd0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0006dde0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0006ddf0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0006de00: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ -0006de10: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ -0006de20: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ -0006de30: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ -0006de40: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ -0006de50: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ -0006de60: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ -0006de70: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ -0006de80: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ -0006de90: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ -0006dea0: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ -0006deb0: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ -0006dec0: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ -0006ded0: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ -0006dee0: 2263 726f 6e22 0a0a 656c 7365 0a20 2020  "cron"..else.   
│ │ │ -0006def0: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ -0006df00: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ -0006df10: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ -0006df20: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ -0006df30: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +0006d4c0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0006d4d0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0006d4e0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0006d4f0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0006d500: 6964 3d22 6964 6d31 3934 3436 223e 3c74  id="idm19446"><t
│ │ │ +0006d510: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0006d520: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0006d530: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0006d540: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0006d550: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0006d560: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0006d570: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006d580: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0006d590: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0006d5a0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0006d5b0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0006d5c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006d5d0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0006d5e0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0006d5f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0006d600: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +0006d610: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0006d620: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +0006d630: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +0006d640: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +0006d650: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0006d660: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +0006d670: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ +0006d680: 5043 492d 4453 5376 342d 322e 322e 360a  PCI-DSSv4-2.2.6.
│ │ │ +0006d690: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +0006d6a0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +0006d6b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0006d6c0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +0006d6d0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +0006d6e0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +0006d6f0: 6564 0a20 202d 2070 6163 6b61 6765 5f63  ed.  - package_c
│ │ │ +0006d700: 726f 6e5f 696e 7374 616c 6c65 640a 0a2d  ron_installed..-
│ │ │ +0006d710: 206e 616d 653a 2045 6e73 7572 6520 6372   name: Ensure cr
│ │ │ +0006d720: 6f6e 2069 7320 696e 7374 616c 6c65 640a  on is installed.
│ │ │ +0006d730: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +0006d740: 616d 653a 2063 726f 6e0a 2020 2020 7374  ame: cron.    st
│ │ │ +0006d750: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ +0006d760: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +0006d770: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +0006d780: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0006d790: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0006d7a0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0006d7b0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +0006d7c0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +0006d7d0: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ +0006d7e0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0006d7f0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0006d800: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0006d810: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0006d820: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0006d830: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0006d840: 6765 5f63 726f 6e5f 696e 7374 616c 6c65  ge_cron_installe
│ │ │ +0006d850: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0006d860: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0006d870: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0006d880: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0006d890: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0006d8a0: 6574 3d22 2369 646d 3139 3434 3722 2074  et="#idm19447" t
│ │ │ +0006d8b0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0006d8c0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0006d8d0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0006d8e0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0006d8f0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0006d900: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0006d910: 2053 6865 6c6c 2073 6372 6970 7420 e287   Shell script ..
│ │ │ +0006d920: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0006d930: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0006d940: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0006d950: 3d22 6964 6d31 3934 3437 223e 3c74 6162  ="idm19447"><tab
│ │ │ +0006d960: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0006d970: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0006d980: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0006d990: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0006d9a0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0006d9b0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0006d9c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0006d9d0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0006d9e0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0006d9f0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0006da00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0006da10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0006da20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0006da30: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0006da40: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0006da50: 6f64 653e 2320 5265 6d65 6469 6174 696f  ode># Remediatio
│ │ │ +0006da60: 6e20 6973 2061 7070 6c69 6361 626c 6520  n is applicable 
│ │ │ +0006da70: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20  only in certain 
│ │ │ +0006da80: 706c 6174 666f 726d 730a 6966 2064 706b  platforms.if dpk
│ │ │ +0006da90: 672d 7175 6572 7920 2d2d 7368 6f77 202d  g-query --show -
│ │ │ +0006daa0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64  -showformat='${d
│ │ │ +0006dab0: 623a 5374 6174 7573 2d53 7461 7475 737d  b:Status-Status}
│ │ │ +0006dac0: 0a27 2027 6c69 6e75 782d 6261 7365 2720  .' 'linux-base' 
│ │ │ +0006dad0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c  2&gt;/dev/null |
│ │ │ +0006dae0: 2067 7265 7020 2d71 205e 696e 7374 616c   grep -q ^instal
│ │ │ +0006daf0: 6c65 643b 2074 6865 6e0a 0a44 4542 4941  led; then..DEBIA
│ │ │ +0006db00: 4e5f 4652 4f4e 5445 4e44 3d6e 6f6e 696e  N_FRONTEND=nonin
│ │ │ +0006db10: 7465 7261 6374 6976 6520 6170 742d 6765  teractive apt-ge
│ │ │ +0006db20: 7420 696e 7374 616c 6c20 2d79 2022 6372  t install -y "cr
│ │ │ +0006db30: 6f6e 220a 0a65 6c73 650a 2020 2020 2667  on"..else.    &g
│ │ │ +0006db40: 743b 2661 6d70 3b32 2065 6368 6f20 2752  t;&amp;2 echo 'R
│ │ │ +0006db50: 656d 6564 6961 7469 6f6e 2069 7320 6e6f  emediation is no
│ │ │ +0006db60: 7420 6170 706c 6963 6162 6c65 2c20 6e6f  t applicable, no
│ │ │ +0006db70: 7468 696e 6720 7761 7320 646f 6e65 270a  thing was done'.
│ │ │ +0006db80: 6669 0a3c 2f63 6f64 653e 3c2f 7072 653e  fi.</code></pre>
│ │ │ +0006db90: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0006dba0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0006dbb0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0006dbc0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0006dbd0: 6765 743d 2223 6964 6d31 3934 3438 2220  get="#idm19448" 
│ │ │ +0006dbe0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0006dbf0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0006dc00: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0006dc10: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0006dc20: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0006dc30: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0006dc40: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ +0006dc50: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ +0006dc60: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0006dc70: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0006dc80: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0006dc90: 6964 6d31 3934 3438 223e 3c70 7265 3e3c  idm19448"><pre><
│ │ │ +0006dca0: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ +0006dcb0: 5d5d 0a6e 616d 6520 3d20 2263 726f 6e22  ]].name = "cron"
│ │ │ +0006dcc0: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ +0006dcd0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0006dce0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0006dcf0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0006dd00: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0006dd10: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0006dd20: 2223 6964 6d31 3934 3439 2220 7461 6269  "#idm19449" tabi
│ │ │ +0006dd30: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0006dd40: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0006dd50: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0006dd60: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0006dd70: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0006dd80: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0006dd90: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0006dda0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0006ddb0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0006ddc0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0006ddd0: 2269 646d 3139 3434 3922 3e3c 7461 626c  "idm19449"><tabl
│ │ │ +0006dde0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0006ddf0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0006de00: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0006de10: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0006de20: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0006de30: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006de40: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0006de50: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0006de60: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0006de70: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0006de80: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0006de90: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0006dea0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0006deb0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +0006dec0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0006ded0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +0006dee0: 6c6c 5f63 726f 6e0a 0a63 6c61 7373 2069  ll_cron..class i
│ │ │ +0006def0: 6e73 7461 6c6c 5f63 726f 6e20 7b0a 2020  nstall_cron {.  
│ │ │ +0006df00: 7061 636b 6167 6520 7b20 2763 726f 6e27  package { 'cron'
│ │ │ +0006df10: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +0006df20: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ +0006df30: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0006df40: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0006df50: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0006df60: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0006df70: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0006df80: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  0006df90: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  0006dfa0: 7275 6c65 5f73 6572 7669 6365 5f63 726f  rule_service_cro
│ │ │ @@ -28373,144 +28373,144 @@
│ │ │  0006ed40: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0006ed50: 3139 3533 3222 2074 6162 696e 6465 783d  19532" tabindex=
│ │ │  0006ed60: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  0006ed70: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  0006ed80: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  0006ed90: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  0006eda0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0006edb0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -0006edc0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -0006edd0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0006ede0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0006edf0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0006ee00: 6522 2069 643d 2269 646d 3139 3533 3222  e" id="idm19532"
│ │ │ -0006ee10: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ -0006ee20: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ -0006ee30: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ -0006ee40: 205b 2263 726f 6e22 5d0a 3c2f 636f 6465   ["cron"].</code
│ │ │ -0006ee50: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0006ee60: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0006ee70: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0006ee80: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0006ee90: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0006eea0: 3139 3533 3322 2074 6162 696e 6465 783d  19533" tabindex=
│ │ │ -0006eeb0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0006eec0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0006eed0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0006eee0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0006eef0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0006ef00: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -0006ef10: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0006ef20: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0006ef30: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0006ef40: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0006ef50: 3935 3333 223e 3c74 6162 6c65 2063 6c61  9533"><table cla
│ │ │ -0006ef60: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0006ef70: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0006ef80: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0006ef90: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0006efa0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0006efb0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0006efc0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0006efd0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0006efe0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0006eff0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0006f000: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0006f010: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0006f020: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0006f030: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0006f040: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -0006f050: 636c 7564 6520 656e 6162 6c65 5f63 726f  clude enable_cro
│ │ │ -0006f060: 6e0a 0a63 6c61 7373 2065 6e61 626c 655f  n..class enable_
│ │ │ -0006f070: 6372 6f6e 207b 0a20 2073 6572 7669 6365  cron {.  service
│ │ │ -0006f080: 207b 2763 726f 6e27 3a0a 2020 2020 656e   {'cron':.    en
│ │ │ -0006f090: 6162 6c65 203d 2667 743b 2074 7275 652c  able =&gt; true,
│ │ │ -0006f0a0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -0006f0b0: 3b20 2772 756e 6e69 6e67 272c 0a20 207d  ; 'running',.  }
│ │ │ -0006f0c0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0006f0d0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0006f0e0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0006f0f0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0006f100: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0006f110: 6765 743d 2223 6964 6d31 3935 3334 2220  get="#idm19534" 
│ │ │ -0006f120: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0006f130: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0006f140: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0006f150: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0006f160: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0006f170: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0006f180: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0006f190: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0006f1a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0006f1b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0006f1c0: 2220 6964 3d22 6964 6d31 3935 3334 223e  " id="idm19534">
│ │ │ -0006f1d0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0006f1e0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0006f1f0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0006f200: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0006f210: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0006f220: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0006f230: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006f240: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0006f250: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006f260: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0006f270: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0006f280: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0006f290: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0006f2a0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -0006f2b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0006f2c0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -0006f2d0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -0006f2e0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -0006f2f0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -0006f300: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -0006f310: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0006f320: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -0006f330: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -0006f340: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0006f350: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0006f360: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -0006f370: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -0006f380: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0006f390: 202d 2073 6572 7669 6365 5f63 726f 6e5f   - service_cron_
│ │ │ -0006f3a0: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ -0006f3b0: 2045 6e61 626c 6520 6372 6f6e 2053 6572   Enable cron Ser
│ │ │ -0006f3c0: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -0006f3d0: 7276 6963 6520 6372 6f6e 0a20 2062 6c6f  rvice cron.  blo
│ │ │ -0006f3e0: 636b 3a0a 0a20 202d 206e 616d 653a 2047  ck:..  - name: G
│ │ │ -0006f3f0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0006f400: 6520 6661 6374 730a 2020 2020 7061 636b  e facts.    pack
│ │ │ -0006f410: 6167 655f 6661 6374 733a 0a20 2020 2020  age_facts:.     
│ │ │ -0006f420: 206d 616e 6167 6572 3a20 6175 746f 0a0a   manager: auto..
│ │ │ -0006f430: 2020 2d20 6e61 6d65 3a20 456e 6162 6c65    - name: Enable
│ │ │ -0006f440: 2063 726f 6e20 5365 7276 6963 6520 2d20   cron Service - 
│ │ │ -0006f450: 456e 6162 6c65 2053 6572 7669 6365 2063  Enable Service c
│ │ │ -0006f460: 726f 6e0a 2020 2020 616e 7369 626c 652e  ron.    ansible.
│ │ │ -0006f470: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ -0006f480: 0a20 2020 2020 206e 616d 653a 2063 726f  .      name: cro
│ │ │ -0006f490: 6e0a 2020 2020 2020 656e 6162 6c65 643a  n.      enabled:
│ │ │ -0006f4a0: 2074 7275 650a 2020 2020 2020 7374 6174   true.      stat
│ │ │ -0006f4b0: 653a 2073 7461 7274 6564 0a20 2020 2020  e: started.     
│ │ │ -0006f4c0: 206d 6173 6b65 643a 2066 616c 7365 0a20   masked: false. 
│ │ │ -0006f4d0: 2020 2077 6865 6e3a 0a20 2020 202d 2027     when:.    - '
│ │ │ -0006f4e0: 2263 726f 6e22 2069 6e20 616e 7369 626c  "cron" in ansibl
│ │ │ -0006f4f0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -0006f500: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ -0006f510: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -0006f520: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -0006f530: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -0006f540: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0006f550: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0006f560: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0006f570: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0006f580: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0006f590: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0006f5a0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006f5b0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0006f5c0: 655f 6372 6f6e 5f65 6e61 626c 6564 0a3c  e_cron_enabled.<
│ │ │ +0006edb0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +0006edc0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0006edd0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0006ede0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0006edf0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0006ee00: 3139 3533 3222 3e3c 7461 626c 6520 636c  19532"><table cl
│ │ │ +0006ee10: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0006ee20: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0006ee30: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0006ee40: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0006ee50: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0006ee60: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0006ee70: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0006ee80: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0006ee90: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0006eea0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0006eeb0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0006eec0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0006eed0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0006eee0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0006eef0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +0006ef00: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +0006ef10: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0006ef20: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +0006ef30: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +0006ef40: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ +0006ef50: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +0006ef60: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +0006ef70: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +0006ef80: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0006ef90: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0006efa0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +0006efb0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0006efc0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +0006efd0: 655f 6372 6f6e 5f65 6e61 626c 6564 0a0a  e_cron_enabled..
│ │ │ +0006efe0: 2d20 6e61 6d65 3a20 456e 6162 6c65 2063  - name: Enable c
│ │ │ +0006eff0: 726f 6e20 5365 7276 6963 6520 2d20 456e  ron Service - En
│ │ │ +0006f000: 6162 6c65 2073 6572 7669 6365 2063 726f  able service cro
│ │ │ +0006f010: 6e0a 2020 626c 6f63 6b3a 0a0a 2020 2d20  n.  block:..  - 
│ │ │ +0006f020: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +0006f030: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +0006f040: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +0006f050: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +0006f060: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +0006f070: 2045 6e61 626c 6520 6372 6f6e 2053 6572   Enable cron Ser
│ │ │ +0006f080: 7669 6365 202d 2045 6e61 626c 6520 5365  vice - Enable Se
│ │ │ +0006f090: 7276 6963 6520 6372 6f6e 0a20 2020 2061  rvice cron.    a
│ │ │ +0006f0a0: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ +0006f0b0: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ +0006f0c0: 6d65 3a20 6372 6f6e 0a20 2020 2020 2065  me: cron.      e
│ │ │ +0006f0d0: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +0006f0e0: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +0006f0f0: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +0006f100: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +0006f110: 2020 2020 2d20 2722 6372 6f6e 2220 696e      - '"cron" in
│ │ │ +0006f120: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +0006f130: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ +0006f140: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +0006f150: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +0006f160: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +0006f170: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0006f180: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +0006f190: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0006f1a0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0006f1b0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0006f1c0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0006f1d0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0006f1e0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0006f1f0: 2073 6572 7669 6365 5f63 726f 6e5f 656e   service_cron_en
│ │ │ +0006f200: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0006f210: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0006f220: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0006f230: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0006f240: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0006f250: 7461 7267 6574 3d22 2369 646d 3139 3533  target="#idm1953
│ │ │ +0006f260: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ +0006f270: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +0006f280: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +0006f290: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +0006f2a0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +0006f2b0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +0006f2c0: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +0006f2d0: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +0006f2e0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0006f2f0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0006f300: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0006f310: 643d 2269 646d 3139 3533 3322 3e3c 7072  d="idm19533"><pr
│ │ │ +0006f320: 653e 3c63 6f64 653e 0a5b 6375 7374 6f6d  e><code>.[custom
│ │ │ +0006f330: 697a 6174 696f 6e73 2e73 6572 7669 6365  izations.service
│ │ │ +0006f340: 735d 0a65 6e61 626c 6564 203d 205b 2263  s].enabled = ["c
│ │ │ +0006f350: 726f 6e22 5d0a 3c2f 636f 6465 3e3c 2f70  ron"].</code></p
│ │ │ +0006f360: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0006f370: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0006f380: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0006f390: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0006f3a0: 7461 7267 6574 3d22 2369 646d 3139 3533  target="#idm1953
│ │ │ +0006f3b0: 3422 2074 6162 696e 6465 783d 2230 2220  4" tabindex="0" 
│ │ │ +0006f3c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +0006f3d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +0006f3e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +0006f3f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +0006f400: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +0006f410: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +0006f420: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0006f430: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0006f440: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0006f450: 7365 2220 6964 3d22 6964 6d31 3935 3334  se" id="idm19534
│ │ │ +0006f460: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0006f470: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0006f480: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0006f490: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0006f4a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0006f4b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0006f4c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006f4d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0006f4e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006f4f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0006f500: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0006f510: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0006f520: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0006f530: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0006f540: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0006f550: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +0006f560: 6520 656e 6162 6c65 5f63 726f 6e0a 0a63  e enable_cron..c
│ │ │ +0006f570: 6c61 7373 2065 6e61 626c 655f 6372 6f6e  lass enable_cron
│ │ │ +0006f580: 207b 0a20 2073 6572 7669 6365 207b 2763   {.  service {'c
│ │ │ +0006f590: 726f 6e27 3a0a 2020 2020 656e 6162 6c65  ron':.    enable
│ │ │ +0006f5a0: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ +0006f5b0: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ +0006f5c0: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │  0006f5d0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0006f5e0: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0006f5f0: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0006f600: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0006f610: 6461 7461 2d74 742d 6964 3d22 6368 696c  data-tt-id="chil
│ │ │  0006f620: 6472 656e 2d78 6363 6466 5f6f 7267 2e73  dren-xccdf_org.s
│ │ │  0006f630: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │ @@ -28790,147 +28790,147 @@
│ │ │  00070750: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00070760: 3d22 2369 646d 3139 3633 3722 2074 6162  ="#idm19637" tab
│ │ │  00070770: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  00070780: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  00070790: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  000707a0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  000707b0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000707c0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000707d0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -000707e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000707f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00070800: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00070810: 3d22 6964 6d31 3936 3337 223e 3c74 6162  ="idm19637"><tab
│ │ │ -00070820: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00070830: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00070840: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00070850: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00070860: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00070870: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00070880: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00070890: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000708a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000708b0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000708c0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000708d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000708e0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000708f0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00070900: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00070910: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -00070920: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ -00070930: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ -00070940: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ -00070950: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ -00070960: 6520 7b20 2769 6e65 7475 7469 6c73 2d74  e { 'inetutils-t
│ │ │ -00070970: 656c 6e65 7464 273a 0a20 2020 2065 6e73  elnetd':.    ens
│ │ │ -00070980: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00070990: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -000709a0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -000709b0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000709c0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000709d0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -000709e0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -000709f0: 3139 3633 3822 2074 6162 696e 6465 783d  19638" tabindex=
│ │ │ -00070a00: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00070a10: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00070a20: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00070a30: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00070a40: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00070a50: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00070a60: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00070a70: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00070a80: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00070a90: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00070aa0: 3139 3633 3822 3e3c 7461 626c 6520 636c  19638"><table cl
│ │ │ -00070ab0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00070ac0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00070ad0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00070ae0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00070af0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00070b00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00070b10: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00070b20: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00070b30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00070b40: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00070b50: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00070b60: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00070b70: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00070b80: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00070b90: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00070ba0: 2d20 6e61 6d65 3a20 456e 7375 7265 2069  - name: Ensure i
│ │ │ -00070bb0: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -00070bc0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -00070bd0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00070be0: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ -00070bf0: 7464 0a20 2020 2073 7461 7465 3a20 6162  td.    state: ab
│ │ │ -00070c00: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00070c10: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00070c20: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -00070c30: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -00070c40: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00070c50: 3728 6229 0a20 202d 2064 6973 6162 6c65  7(b).  - disable
│ │ │ -00070c60: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -00070c70: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -00070c80: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00070c90: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00070ca0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -00070cb0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00070cc0: 6765 5f69 6e65 7475 7469 6c73 2d74 656c  ge_inetutils-tel
│ │ │ -00070cd0: 6e65 7464 5f72 656d 6f76 6564 0a3c 2f63  netd_removed.</c
│ │ │ -00070ce0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00070cf0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00070d00: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00070d10: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00070d20: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00070d30: 6964 6d31 3936 3339 2220 7461 6269 6e64  idm19639" tabind
│ │ │ -00070d40: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00070d50: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00070d60: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00070d70: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00070d80: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00070d90: 5265 6d65 6469 6174 696f 6e20 5368 656c  Remediation Shel
│ │ │ -00070da0: 6c20 7363 7269 7074 20e2 87b2 3c2f 613e  l script ...</a>
│ │ │ -00070db0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00070dc0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00070dd0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00070de0: 3139 3633 3922 3e3c 7461 626c 6520 636c  19639"><table cl
│ │ │ -00070df0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00070e00: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00070e10: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00070e20: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00070e30: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00070e40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00070e50: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00070e60: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00070e70: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00070e80: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00070e90: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00070ea0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00070eb0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00070ec0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00070ed0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00070ee0: 0a23 2043 4155 5449 4f4e 3a20 5468 6973  .# CAUTION: This
│ │ │ -00070ef0: 2072 656d 6564 6961 7469 6f6e 2073 6372   remediation scr
│ │ │ -00070f00: 6970 7420 7769 6c6c 2072 656d 6f76 6520  ipt will remove 
│ │ │ -00070f10: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00070f20: 640a 2309 2020 2066 726f 6d20 7468 6520  d.#.   from the 
│ │ │ -00070f30: 7379 7374 656d 2c20 616e 6420 6d61 7920  system, and may 
│ │ │ -00070f40: 7265 6d6f 7665 2061 6e79 2070 6163 6b61  remove any packa
│ │ │ -00070f50: 6765 730a 2309 2020 2074 6861 7420 6465  ges.#.   that de
│ │ │ -00070f60: 7065 6e64 206f 6e20 696e 6574 7574 696c  pend on inetutil
│ │ │ -00070f70: 732d 7465 6c6e 6574 642e 2045 7865 6375  s-telnetd. Execu
│ │ │ -00070f80: 7465 2074 6869 730a 2309 2020 2072 656d  te this.#.   rem
│ │ │ -00070f90: 6564 6961 7469 6f6e 2041 4654 4552 2074  ediation AFTER t
│ │ │ -00070fa0: 6573 7469 6e67 206f 6e20 6120 6e6f 6e2d  esting on a non-
│ │ │ -00070fb0: 7072 6f64 7563 7469 6f6e 0a23 0920 2020  production.#.   
│ │ │ -00070fc0: 7379 7374 656d 210a 0a44 4542 4941 4e5f  system!..DEBIAN_
│ │ │ -00070fd0: 4652 4f4e 5445 4e44 3d6e 6f6e 696e 7465  FRONTEND=noninte
│ │ │ -00070fe0: 7261 6374 6976 6520 6170 742d 6765 7420  ractive apt-get 
│ │ │ -00070ff0: 7265 6d6f 7665 202d 7920 2269 6e65 7475  remove -y "inetu
│ │ │ -00071000: 7469 6c73 2d74 656c 6e65 7464 220a 3c2f  tils-telnetd".</
│ │ │ +000707c0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +000707d0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +000707e0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000707f0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00070800: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00070810: 643d 2269 646d 3139 3633 3722 3e3c 7461  d="idm19637"><ta
│ │ │ +00070820: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00070830: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00070840: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00070850: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00070860: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00070870: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00070880: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00070890: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000708a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000708b0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000708c0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000708d0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000708e0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000708f0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00070900: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00070910: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +00070920: 7375 7265 2069 6e65 7475 7469 6c73 2d74  sure inetutils-t
│ │ │ +00070930: 656c 6e65 7464 2069 7320 7265 6d6f 7665  elnetd is remove
│ │ │ +00070940: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +00070950: 206e 616d 653a 2069 6e65 7475 7469 6c73   name: inetutils
│ │ │ +00070960: 2d74 656c 6e65 7464 0a20 2020 2073 7461  -telnetd.    sta
│ │ │ +00070970: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00070980: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00070990: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +000709a0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +000709b0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +000709c0: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +000709d0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +000709e0: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +000709f0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00070a00: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00070a10: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00070a20: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00070a30: 2070 6163 6b61 6765 5f69 6e65 7475 7469   package_inetuti
│ │ │ +00070a40: 6c73 2d74 656c 6e65 7464 5f72 656d 6f76  ls-telnetd_remov
│ │ │ +00070a50: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00070a60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00070a70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00070a80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00070a90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00070aa0: 6765 743d 2223 6964 6d31 3936 3338 2220  get="#idm19638" 
│ │ │ +00070ab0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00070ac0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00070ad0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00070ae0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00070af0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00070b00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00070b10: 6e20 5368 656c 6c20 7363 7269 7074 20e2  n Shell script .
│ │ │ +00070b20: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00070b30: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00070b40: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00070b50: 643d 2269 646d 3139 3633 3822 3e3c 7461  d="idm19638"><ta
│ │ │ +00070b60: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00070b70: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00070b80: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00070b90: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00070ba0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00070bb0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00070bc0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00070bd0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00070be0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00070bf0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00070c00: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00070c10: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00070c20: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00070c30: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00070c40: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00070c50: 3c63 6f64 653e 0a23 2043 4155 5449 4f4e  <code>.# CAUTION
│ │ │ +00070c60: 3a20 5468 6973 2072 656d 6564 6961 7469  : This remediati
│ │ │ +00070c70: 6f6e 2073 6372 6970 7420 7769 6c6c 2072  on script will r
│ │ │ +00070c80: 656d 6f76 6520 696e 6574 7574 696c 732d  emove inetutils-
│ │ │ +00070c90: 7465 6c6e 6574 640a 2309 2020 2066 726f  telnetd.#.   fro
│ │ │ +00070ca0: 6d20 7468 6520 7379 7374 656d 2c20 616e  m the system, an
│ │ │ +00070cb0: 6420 6d61 7920 7265 6d6f 7665 2061 6e79  d may remove any
│ │ │ +00070cc0: 2070 6163 6b61 6765 730a 2309 2020 2074   packages.#.   t
│ │ │ +00070cd0: 6861 7420 6465 7065 6e64 206f 6e20 696e  hat depend on in
│ │ │ +00070ce0: 6574 7574 696c 732d 7465 6c6e 6574 642e  etutils-telnetd.
│ │ │ +00070cf0: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ +00070d00: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ +00070d10: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ +00070d20: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ +00070d30: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ +00070d40: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +00070d50: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +00070d60: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ +00070d70: 2269 6e65 7475 7469 6c73 2d74 656c 6e65  "inetutils-telne
│ │ │ +00070d80: 7464 220a 3c2f 636f 6465 3e3c 2f70 7265  td".</code></pre
│ │ │ +00070d90: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00070da0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00070db0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00070dc0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00070dd0: 7267 6574 3d22 2369 646d 3139 3633 3922  rget="#idm19639"
│ │ │ +00070de0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00070df0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00070e00: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00070e10: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00070e20: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00070e30: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00070e40: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00070e50: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00070e60: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00070e70: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00070e80: 2220 6964 3d22 6964 6d31 3936 3339 223e  " id="idm19639">
│ │ │ +00070e90: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00070ea0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00070eb0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00070ec0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00070ed0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00070ee0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00070ef0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00070f00: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00070f10: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00070f20: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00070f30: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00070f40: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00070f50: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00070f60: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00070f70: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00070f80: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00070f90: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00070fa0: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ +00070fb0: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00070fc0: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ +00070fd0: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ +00070fe0: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ +00070ff0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00071000: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00071010: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00071020: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  00071030: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  00071040: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  00071050: 6174 612d 7474 2d69 643d 2278 6363 6466  ata-tt-id="xccdf
│ │ │  00071060: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  00071070: 636f 6e74 656e 745f 7275 6c65 5f70 6163  content_rule_pac
│ │ │ @@ -29025,135 +29025,135 @@
│ │ │  00071600: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00071610: 2223 6964 6d31 3936 3436 2220 7461 6269  "#idm19646" tabi
│ │ │  00071620: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00071630: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  00071640: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  00071650: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  00071660: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00071670: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00071680: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00071690: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000716a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000716b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000716c0: 2269 646d 3139 3634 3622 3e3c 7461 626c  "idm19646"><tabl
│ │ │ -000716d0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -000716e0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -000716f0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00071700: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00071710: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00071720: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00071730: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00071740: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00071750: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00071760: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00071770: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00071780: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00071790: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000717a0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -000717b0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000717c0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ -000717d0: 7665 5f6e 6973 0a0a 636c 6173 7320 7265  ve_nis..class re
│ │ │ -000717e0: 6d6f 7665 5f6e 6973 207b 0a20 2070 6163  move_nis {.  pac
│ │ │ -000717f0: 6b61 6765 207b 2027 6e69 7327 3a0a 2020  kage { 'nis':.  
│ │ │ -00071800: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00071810: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -00071820: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00071830: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00071840: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00071850: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00071860: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00071870: 2223 6964 6d31 3936 3437 2220 7461 6269  "#idm19647" tabi
│ │ │ -00071880: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00071890: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -000718a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -000718b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000718c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000718d0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -000718e0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -000718f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00071900: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00071910: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00071920: 3d22 6964 6d31 3936 3437 223e 3c74 6162  ="idm19647"><tab
│ │ │ -00071930: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00071940: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00071950: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00071960: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00071970: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00071980: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00071990: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000719a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000719b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000719c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000719d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000719e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000719f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00071a00: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00071a10: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00071a20: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -00071a30: 7572 6520 6e69 7320 6973 2072 656d 6f76  ure nis is remov
│ │ │ -00071a40: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00071a50: 2020 6e61 6d65 3a20 6e69 730a 2020 2020    name: nis.    
│ │ │ -00071a60: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -00071a70: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ -00071a80: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00071a90: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00071aa0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00071ab0: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ -00071ac0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00071ad0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00071ae0: 6765 5f6e 6973 5f72 656d 6f76 6564 0a3c  ge_nis_removed.<
│ │ │ -00071af0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00071b00: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00071b10: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00071b20: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00071b30: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00071b40: 2223 6964 6d31 3936 3438 2220 7461 6269  "#idm19648" tabi
│ │ │ -00071b50: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00071b60: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00071b70: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00071b80: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00071b90: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00071ba0: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ -00071bb0: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ -00071bc0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00071bd0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00071be0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00071bf0: 646d 3139 3634 3822 3e3c 7461 626c 6520  dm19648"><table 
│ │ │ -00071c00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00071c10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00071c20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00071c30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00071c40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00071c50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00071c60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00071c70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00071c80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00071c90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00071ca0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00071cb0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00071cc0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00071cd0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00071ce0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00071cf0: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ -00071d00: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ -00071d10: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ -00071d20: 6520 6e69 730a 2309 2020 2066 726f 6d20  e nis.#.   from 
│ │ │ -00071d30: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ -00071d40: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ -00071d50: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ -00071d60: 7420 6465 7065 6e64 206f 6e20 6e69 732e  t depend on nis.
│ │ │ -00071d70: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ -00071d80: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ -00071d90: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ -00071da0: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ -00071db0: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ -00071dc0: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ -00071dd0: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ -00071de0: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ -00071df0: 226e 6973 220a 3c2f 636f 6465 3e3c 2f70  "nis".</code></p
│ │ │ +00071670: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00071680: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00071690: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000716a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000716b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +000716c0: 3d22 6964 6d31 3936 3436 223e 3c74 6162  ="idm19646"><tab
│ │ │ +000716d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +000716e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +000716f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00071700: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00071710: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00071720: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00071730: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00071740: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00071750: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00071760: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00071770: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00071780: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00071790: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +000717a0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +000717b0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +000717c0: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ +000717d0: 7572 6520 6e69 7320 6973 2072 656d 6f76  ure nis is remov
│ │ │ +000717e0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +000717f0: 2020 6e61 6d65 3a20 6e69 730a 2020 2020    name: nis.    
│ │ │ +00071800: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +00071810: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ +00071820: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00071830: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00071840: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00071850: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ +00071860: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00071870: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00071880: 6765 5f6e 6973 5f72 656d 6f76 6564 0a3c  ge_nis_removed.<
│ │ │ +00071890: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +000718a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +000718b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +000718c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000718d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000718e0: 2223 6964 6d31 3936 3437 2220 7461 6269  "#idm19647" tabi
│ │ │ +000718f0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00071900: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00071910: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00071920: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00071930: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00071940: 223e 5265 6d65 6469 6174 696f 6e20 5368  ">Remediation Sh
│ │ │ +00071950: 656c 6c20 7363 7269 7074 20e2 87b2 3c2f  ell script ...</
│ │ │ +00071960: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00071970: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00071980: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00071990: 646d 3139 3634 3722 3e3c 7461 626c 6520  dm19647"><table 
│ │ │ +000719a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +000719b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +000719c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000719d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000719e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +000719f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00071a00: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00071a10: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00071a20: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00071a30: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00071a40: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00071a50: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00071a60: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00071a70: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00071a80: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00071a90: 653e 0a23 2043 4155 5449 4f4e 3a20 5468  e>.# CAUTION: Th
│ │ │ +00071aa0: 6973 2072 656d 6564 6961 7469 6f6e 2073  is remediation s
│ │ │ +00071ab0: 6372 6970 7420 7769 6c6c 2072 656d 6f76  cript will remov
│ │ │ +00071ac0: 6520 6e69 730a 2309 2020 2066 726f 6d20  e nis.#.   from 
│ │ │ +00071ad0: 7468 6520 7379 7374 656d 2c20 616e 6420  the system, and 
│ │ │ +00071ae0: 6d61 7920 7265 6d6f 7665 2061 6e79 2070  may remove any p
│ │ │ +00071af0: 6163 6b61 6765 730a 2309 2020 2074 6861  ackages.#.   tha
│ │ │ +00071b00: 7420 6465 7065 6e64 206f 6e20 6e69 732e  t depend on nis.
│ │ │ +00071b10: 2045 7865 6375 7465 2074 6869 730a 2309   Execute this.#.
│ │ │ +00071b20: 2020 2072 656d 6564 6961 7469 6f6e 2041     remediation A
│ │ │ +00071b30: 4654 4552 2074 6573 7469 6e67 206f 6e20  FTER testing on 
│ │ │ +00071b40: 6120 6e6f 6e2d 7072 6f64 7563 7469 6f6e  a non-production
│ │ │ +00071b50: 0a23 0920 2020 7379 7374 656d 210a 0a44  .#.   system!..D
│ │ │ +00071b60: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +00071b70: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +00071b80: 742d 6765 7420 7265 6d6f 7665 202d 7920  t-get remove -y 
│ │ │ +00071b90: 226e 6973 220a 3c2f 636f 6465 3e3c 2f70  "nis".</code></p
│ │ │ +00071ba0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00071bb0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00071bc0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00071bd0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00071be0: 7461 7267 6574 3d22 2369 646d 3139 3634  target="#idm1964
│ │ │ +00071bf0: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ +00071c00: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00071c10: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00071c20: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00071c30: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00071c40: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00071c50: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00071c60: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00071c70: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00071c80: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00071c90: 7365 2220 6964 3d22 6964 6d31 3936 3438  se" id="idm19648
│ │ │ +00071ca0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00071cb0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00071cc0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00071cd0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00071ce0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00071cf0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00071d00: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00071d10: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00071d20: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00071d30: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00071d40: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00071d50: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00071d60: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00071d70: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +00071d80: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00071d90: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00071da0: 6465 2072 656d 6f76 655f 6e69 730a 0a63  de remove_nis..c
│ │ │ +00071db0: 6c61 7373 2072 656d 6f76 655f 6e69 7320  lass remove_nis 
│ │ │ +00071dc0: 7b0a 2020 7061 636b 6167 6520 7b20 276e  {.  package { 'n
│ │ │ +00071dd0: 6973 273a 0a20 2020 2065 6e73 7572 6520  is':.    ensure 
│ │ │ +00071de0: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +00071df0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  00071e00: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  00071e10: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  00071e20: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00071e30: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  00071e40: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  00071e50: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  00071e60: 7275 6c65 5f70 6163 6b61 6765 5f6e 7470  rule_package_ntp
│ │ │ @@ -29249,137 +29249,137 @@
│ │ │  00072400: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │  00072410: 3635 3522 2074 6162 696e 6465 783d 2230  655" tabindex="0
│ │ │  00072420: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00072430: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00072440: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00072450: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00072460: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00072470: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -00072480: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00072490: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -000724a0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -000724b0: 6170 7365 2220 6964 3d22 6964 6d31 3936  apse" id="idm196
│ │ │ -000724c0: 3535 223e 3c74 6162 6c65 2063 6c61 7373  55"><table class
│ │ │ -000724d0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -000724e0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -000724f0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00072500: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00072510: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00072520: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00072530: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00072540: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00072550: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00072560: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00072570: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00072580: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00072590: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -000725a0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -000725b0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -000725c0: 6c75 6465 2072 656d 6f76 655f 6e74 7064  lude remove_ntpd
│ │ │ -000725d0: 6174 650a 0a63 6c61 7373 2072 656d 6f76  ate..class remov
│ │ │ -000725e0: 655f 6e74 7064 6174 6520 7b0a 2020 7061  e_ntpdate {.  pa
│ │ │ -000725f0: 636b 6167 6520 7b20 276e 7470 6461 7465  ckage { 'ntpdate
│ │ │ -00072600: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00072610: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -00072620: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00072630: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00072640: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00072650: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00072660: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00072670: 7267 6574 3d22 2369 646d 3139 3635 3622  rget="#idm19656"
│ │ │ -00072680: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00072690: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000726a0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000726b0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000726c0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -000726d0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000726e0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -000726f0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00072700: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00072710: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00072720: 6522 2069 643d 2269 646d 3139 3635 3622  e" id="idm19656"
│ │ │ -00072730: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00072740: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00072750: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00072760: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00072770: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00072780: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00072790: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000727a0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -000727b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000727c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -000727d0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -000727e0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000727f0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00072800: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00072810: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00072820: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00072830: 3a20 456e 7375 7265 206e 7470 6461 7465  : Ensure ntpdate
│ │ │ -00072840: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -00072850: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00072860: 206e 7470 6461 7465 0a20 2020 2073 7461   ntpdate.    sta
│ │ │ -00072870: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -00072880: 733a 0a20 202d 2064 6973 6162 6c65 5f73  s:.  - disable_s
│ │ │ -00072890: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -000728a0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -000728b0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -000728c0: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ -000728d0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -000728e0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -000728f0: 6e74 7064 6174 655f 7265 6d6f 7665 640a  ntpdate_removed.
│ │ │ -00072900: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00072910: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00072920: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00072930: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00072940: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00072950: 3d22 2369 646d 3139 3635 3722 2074 6162  ="#idm19657" tab
│ │ │ -00072960: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00072970: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00072980: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00072990: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000729a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000729b0: 2122 3e52 656d 6564 6961 7469 6f6e 2053  !">Remediation S
│ │ │ -000729c0: 6865 6c6c 2073 6372 6970 7420 e287 b23c  hell script ...<
│ │ │ -000729d0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000729e0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -000729f0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00072a00: 6964 6d31 3936 3537 223e 3c74 6162 6c65  idm19657"><table
│ │ │ -00072a10: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00072a20: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00072a30: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00072a40: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00072a50: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00072a60: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00072a70: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00072a80: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00072a90: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00072aa0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00072ab0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00072ac0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00072ad0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00072ae0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00072af0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00072b00: 6465 3e0a 2320 4341 5554 494f 4e3a 2054  de>.# CAUTION: T
│ │ │ -00072b10: 6869 7320 7265 6d65 6469 6174 696f 6e20  his remediation 
│ │ │ -00072b20: 7363 7269 7074 2077 696c 6c20 7265 6d6f  script will remo
│ │ │ -00072b30: 7665 206e 7470 6461 7465 0a23 0920 2020  ve ntpdate.#.   
│ │ │ -00072b40: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ -00072b50: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ -00072b60: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ -00072b70: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ -00072b80: 206e 7470 6461 7465 2e20 4578 6563 7574   ntpdate. Execut
│ │ │ -00072b90: 6520 7468 6973 0a23 0920 2020 7265 6d65  e this.#.   reme
│ │ │ -00072ba0: 6469 6174 696f 6e20 4146 5445 5220 7465  diation AFTER te
│ │ │ -00072bb0: 7374 696e 6720 6f6e 2061 206e 6f6e 2d70  sting on a non-p
│ │ │ -00072bc0: 726f 6475 6374 696f 6e0a 2309 2020 2073  roduction.#.   s
│ │ │ -00072bd0: 7973 7465 6d21 0a0a 4445 4249 414e 5f46  ystem!..DEBIAN_F
│ │ │ -00072be0: 524f 4e54 454e 443d 6e6f 6e69 6e74 6572  RONTEND=noninter
│ │ │ -00072bf0: 6163 7469 7665 2061 7074 2d67 6574 2072  active apt-get r
│ │ │ -00072c00: 656d 6f76 6520 2d79 2022 6e74 7064 6174  emove -y "ntpdat
│ │ │ -00072c10: 6522 0a3c 2f63 6f64 653e 3c2f 7072 653e  e".</code></pre>
│ │ │ +00072470: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00072480: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00072490: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000724a0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000724b0: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ +000724c0: 3635 3522 3e3c 7461 626c 6520 636c 6173  655"><table clas
│ │ │ +000724d0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +000724e0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +000724f0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00072500: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00072510: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00072520: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00072530: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00072540: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00072550: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00072560: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00072570: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00072580: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00072590: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +000725a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +000725b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +000725c0: 6e61 6d65 3a20 456e 7375 7265 206e 7470  name: Ensure ntp
│ │ │ +000725d0: 6461 7465 2069 7320 7265 6d6f 7665 640a  date is removed.
│ │ │ +000725e0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +000725f0: 616d 653a 206e 7470 6461 7465 0a20 2020  ame: ntpdate.   
│ │ │ +00072600: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00072610: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ +00072620: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00072630: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00072640: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00072650: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +00072660: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00072670: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00072680: 6167 655f 6e74 7064 6174 655f 7265 6d6f  age_ntpdate_remo
│ │ │ +00072690: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +000726a0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000726b0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000726c0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000726d0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000726e0: 7267 6574 3d22 2369 646d 3139 3635 3622  rget="#idm19656"
│ │ │ +000726f0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00072700: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00072710: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00072720: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00072730: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00072740: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00072750: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +00072760: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00072770: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00072780: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00072790: 6964 3d22 6964 6d31 3936 3536 223e 3c74  id="idm19656"><t
│ │ │ +000727a0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +000727b0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +000727c0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +000727d0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +000727e0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +000727f0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00072800: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00072810: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00072820: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00072830: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00072840: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00072850: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00072860: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00072870: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00072880: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00072890: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ +000728a0: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +000728b0: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +000728c0: 7265 6d6f 7665 206e 7470 6461 7465 0a23  remove ntpdate.#
│ │ │ +000728d0: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ +000728e0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ +000728f0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ +00072900: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ +00072910: 6420 6f6e 206e 7470 6461 7465 2e20 4578  d on ntpdate. Ex
│ │ │ +00072920: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ +00072930: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ +00072940: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ +00072950: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ +00072960: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ +00072970: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ +00072980: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ +00072990: 6574 2072 656d 6f76 6520 2d79 2022 6e74  et remove -y "nt
│ │ │ +000729a0: 7064 6174 6522 0a3c 2f63 6f64 653e 3c2f  pdate".</code></
│ │ │ +000729b0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000729c0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000729d0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +000729e0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +000729f0: 2d74 6172 6765 743d 2223 6964 6d31 3936  -target="#idm196
│ │ │ +00072a00: 3537 2220 7461 6269 6e64 6578 3d22 3022  57" tabindex="0"
│ │ │ +00072a10: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00072a20: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00072a30: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00072a40: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00072a50: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00072a60: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00072a70: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00072a80: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00072a90: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00072aa0: 7073 6522 2069 643d 2269 646d 3139 3635  pse" id="idm1965
│ │ │ +00072ab0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +00072ac0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00072ad0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00072ae0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00072af0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00072b00: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00072b10: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00072b20: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00072b30: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00072b40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00072b50: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00072b60: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00072b70: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00072b80: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00072b90: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00072ba0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00072bb0: 7564 6520 7265 6d6f 7665 5f6e 7470 6461  ude remove_ntpda
│ │ │ +00072bc0: 7465 0a0a 636c 6173 7320 7265 6d6f 7665  te..class remove
│ │ │ +00072bd0: 5f6e 7470 6461 7465 207b 0a20 2070 6163  _ntpdate {.  pac
│ │ │ +00072be0: 6b61 6765 207b 2027 6e74 7064 6174 6527  kage { 'ntpdate'
│ │ │ +00072bf0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00072c00: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +00072c10: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  00072c20: 3c2f 6469 763e 3c2f 6469 763e 3c2f 7464  </div></div></td
│ │ │  00072c30: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  00072c40: 7461 626c 653e 3c2f 7464 3e3c 2f74 723e  table></td></tr>
│ │ │  00072c50: 3c74 7220 6461 7461 2d74 742d 6964 3d22  <tr data-tt-id="
│ │ │  00072c60: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  00072c70: 6a65 6374 2e63 6f6e 7465 6e74 5f72 756c  ject.content_rul
│ │ │  00072c80: 655f 7061 636b 6167 655f 7465 6c6e 6574  e_package_telnet
│ │ │ @@ -29591,143 +29591,143 @@
│ │ │  00073960: 6765 743d 2223 6964 6d31 3937 3536 2220  get="#idm19756" 
│ │ │  00073970: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00073980: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00073990: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  000739a0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  000739b0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  000739c0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000739d0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -000739e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000739f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00073a00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00073a10: 2069 643d 2269 646d 3139 3735 3622 3e3c   id="idm19756"><
│ │ │ -00073a20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00073a30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00073a40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00073a50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00073a60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00073a70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00073a80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00073a90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00073aa0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00073ab0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00073ac0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00073ad0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00073ae0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00073af0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00073b00: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00073b10: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00073b20: 7265 6d6f 7665 5f74 656c 6e65 7464 2d73  remove_telnetd-s
│ │ │ -00073b30: 736c 0a0a 636c 6173 7320 7265 6d6f 7665  sl..class remove
│ │ │ -00073b40: 5f74 656c 6e65 7464 2d73 736c 207b 0a20  _telnetd-ssl {. 
│ │ │ -00073b50: 2070 6163 6b61 6765 207b 2027 7465 6c6e   package { 'teln
│ │ │ -00073b60: 6574 642d 7373 6c27 3a0a 2020 2020 656e  etd-ssl':.    en
│ │ │ -00073b70: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00073b80: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00073b90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00073ba0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00073bb0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00073bc0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00073bd0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00073be0: 6d31 3937 3537 2220 7461 6269 6e64 6578  m19757" tabindex
│ │ │ -00073bf0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00073c00: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00073c10: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00073c20: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00073c30: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00073c40: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00073c50: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00073c60: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00073c70: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00073c80: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00073c90: 6d31 3937 3537 223e 3c74 6162 6c65 2063  m19757"><table c
│ │ │ -00073ca0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00073cb0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00073cc0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00073cd0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00073ce0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00073cf0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00073d00: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00073d10: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00073d20: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00073d30: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00073d40: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00073d50: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00073d60: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00073d70: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00073d80: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00073d90: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00073da0: 7465 6c6e 6574 642d 7373 6c20 6973 2072  telnetd-ssl is r
│ │ │ -00073db0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00073dc0: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ -00073dd0: 6574 642d 7373 6c0a 2020 2020 7374 6174  etd-ssl.    stat
│ │ │ -00073de0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -00073df0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -00073e00: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -00073e10: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -00073e20: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00073e30: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ -00073e40: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -00073e50: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ -00073e60: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00073e70: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00073e80: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ -00073e90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00073ea0: 7061 636b 6167 655f 7465 6c6e 6574 642d  package_telnetd-
│ │ │ -00073eb0: 7373 6c5f 7265 6d6f 7665 640a 3c2f 636f  ssl_removed.</co
│ │ │ -00073ec0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00073ed0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00073ee0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00073ef0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00073f00: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00073f10: 646d 3139 3735 3822 2074 6162 696e 6465  dm19758" tabinde
│ │ │ -00073f20: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00073f30: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00073f40: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00073f50: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00073f60: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00073f70: 656d 6564 6961 7469 6f6e 2053 6865 6c6c  emediation Shell
│ │ │ -00073f80: 2073 6372 6970 7420 e287 b23c 2f61 3e3c   script ...</a><
│ │ │ -00073f90: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00073fa0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00073fb0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00073fc0: 3937 3538 223e 3c74 6162 6c65 2063 6c61  9758"><table cla
│ │ │ -00073fd0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00073fe0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00073ff0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00074000: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00074010: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00074020: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00074030: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00074040: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00074050: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00074060: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00074070: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00074080: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00074090: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -000740a0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -000740b0: 626c 653e 3c70 7265 3e3c 636f 6465 3e0a  ble><pre><code>.
│ │ │ -000740c0: 2320 4341 5554 494f 4e3a 2054 6869 7320  # CAUTION: This 
│ │ │ -000740d0: 7265 6d65 6469 6174 696f 6e20 7363 7269  remediation scri
│ │ │ -000740e0: 7074 2077 696c 6c20 7265 6d6f 7665 2074  pt will remove t
│ │ │ -000740f0: 656c 6e65 7464 2d73 736c 0a23 0920 2020  elnetd-ssl.#.   
│ │ │ -00074100: 6672 6f6d 2074 6865 2073 7973 7465 6d2c  from the system,
│ │ │ -00074110: 2061 6e64 206d 6179 2072 656d 6f76 6520   and may remove 
│ │ │ -00074120: 616e 7920 7061 636b 6167 6573 0a23 0920  any packages.#. 
│ │ │ -00074130: 2020 7468 6174 2064 6570 656e 6420 6f6e    that depend on
│ │ │ -00074140: 2074 656c 6e65 7464 2d73 736c 2e20 4578   telnetd-ssl. Ex
│ │ │ -00074150: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ -00074160: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ -00074170: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ -00074180: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ -00074190: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ -000741a0: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -000741b0: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -000741c0: 6574 2072 656d 6f76 6520 2d79 2022 7465  et remove -y "te
│ │ │ -000741d0: 6c6e 6574 642d 7373 6c22 0a3c 2f63 6f64  lnetd-ssl".</cod
│ │ │ +000739d0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +000739e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +000739f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00073a00: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00073a10: 2220 6964 3d22 6964 6d31 3937 3536 223e  " id="idm19756">
│ │ │ +00073a20: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00073a30: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00073a40: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00073a50: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00073a60: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00073a70: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00073a80: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00073a90: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00073aa0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00073ab0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00073ac0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00073ad0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00073ae0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00073af0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00073b00: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00073b10: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00073b20: 2045 6e73 7572 6520 7465 6c6e 6574 642d   Ensure telnetd-
│ │ │ +00073b30: 7373 6c20 6973 2072 656d 6f76 6564 0a20  ssl is removed. 
│ │ │ +00073b40: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00073b50: 6d65 3a20 7465 6c6e 6574 642d 7373 6c0a  me: telnetd-ssl.
│ │ │ +00073b60: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +00073b70: 740a 2020 7461 6773 3a0a 2020 2d20 4e49  t.  tags:.  - NI
│ │ │ +00073b80: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00073b90: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +00073ba0: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ +00073bb0: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ +00073bc0: 290a 2020 2d20 6469 7361 626c 655f 7374  ).  - disable_st
│ │ │ +00073bd0: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ +00073be0: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ +00073bf0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00073c00: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00073c10: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00073c20: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00073c30: 7465 6c6e 6574 642d 7373 6c5f 7265 6d6f  telnetd-ssl_remo
│ │ │ +00073c40: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +00073c50: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00073c60: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00073c70: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00073c80: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00073c90: 7267 6574 3d22 2369 646d 3139 3735 3722  rget="#idm19757"
│ │ │ +00073ca0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00073cb0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00073cc0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00073cd0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00073ce0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00073cf0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00073d00: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ +00073d10: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00073d20: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00073d30: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00073d40: 6964 3d22 6964 6d31 3937 3537 223e 3c74  id="idm19757"><t
│ │ │ +00073d50: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00073d60: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00073d70: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00073d80: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00073d90: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00073da0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00073db0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00073dc0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00073dd0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00073de0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00073df0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00073e00: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00073e10: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00073e20: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00073e30: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00073e40: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ +00073e50: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ +00073e60: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ +00073e70: 7265 6d6f 7665 2074 656c 6e65 7464 2d73  remove telnetd-s
│ │ │ +00073e80: 736c 0a23 0920 2020 6672 6f6d 2074 6865  sl.#.   from the
│ │ │ +00073e90: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +00073ea0: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +00073eb0: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +00073ec0: 6570 656e 6420 6f6e 2074 656c 6e65 7464  epend on telnetd
│ │ │ +00073ed0: 2d73 736c 2e20 4578 6563 7574 6520 7468  -ssl. Execute th
│ │ │ +00073ee0: 6973 0a23 0920 2020 7265 6d65 6469 6174  is.#.   remediat
│ │ │ +00073ef0: 696f 6e20 4146 5445 5220 7465 7374 696e  ion AFTER testin
│ │ │ +00073f00: 6720 6f6e 2061 206e 6f6e 2d70 726f 6475  g on a non-produ
│ │ │ +00073f10: 6374 696f 6e0a 2309 2020 2073 7973 7465  ction.#.   syste
│ │ │ +00073f20: 6d21 0a0a 4445 4249 414e 5f46 524f 4e54  m!..DEBIAN_FRONT
│ │ │ +00073f30: 454e 443d 6e6f 6e69 6e74 6572 6163 7469  END=noninteracti
│ │ │ +00073f40: 7665 2061 7074 2d67 6574 2072 656d 6f76  ve apt-get remov
│ │ │ +00073f50: 6520 2d79 2022 7465 6c6e 6574 642d 7373  e -y "telnetd-ss
│ │ │ +00073f60: 6c22 0a3c 2f63 6f64 653e 3c2f 7072 653e  l".</code></pre>
│ │ │ +00073f70: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00073f80: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00073f90: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00073fa0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00073fb0: 6765 743d 2223 6964 6d31 3937 3538 2220  get="#idm19758" 
│ │ │ +00073fc0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00073fd0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00073fe0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00073ff0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00074000: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00074010: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00074020: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00074030: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00074040: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00074050: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00074060: 2069 643d 2269 646d 3139 3735 3822 3e3c   id="idm19758"><
│ │ │ +00074070: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00074080: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00074090: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000740a0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000740b0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +000740c0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +000740d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000740e0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +000740f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00074100: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00074110: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00074120: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00074130: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00074140: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00074150: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00074160: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00074170: 7265 6d6f 7665 5f74 656c 6e65 7464 2d73  remove_telnetd-s
│ │ │ +00074180: 736c 0a0a 636c 6173 7320 7265 6d6f 7665  sl..class remove
│ │ │ +00074190: 5f74 656c 6e65 7464 2d73 736c 207b 0a20  _telnetd-ssl {. 
│ │ │ +000741a0: 2070 6163 6b61 6765 207b 2027 7465 6c6e   package { 'teln
│ │ │ +000741b0: 6574 642d 7373 6c27 3a0a 2020 2020 656e  etd-ssl':.    en
│ │ │ +000741c0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +000741d0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  000741e0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  000741f0: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  00074200: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  00074210: 7464 3e3c 2f74 723e 3c74 7220 6461 7461  td></tr><tr data
│ │ │  00074220: 2d74 742d 6964 3d22 7863 6364 665f 6f72  -tt-id="xccdf_or
│ │ │  00074230: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  00074240: 7465 6e74 5f72 756c 655f 7061 636b 6167  tent_rule_packag
│ │ │ @@ -29939,141 +29939,141 @@
│ │ │  00074f20: 6765 743d 2223 6964 6d31 3938 3536 2220  get="#idm19856" 
│ │ │  00074f30: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00074f40: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00074f50: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00074f60: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00074f70: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00074f80: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00074f90: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00074fa0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00074fb0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00074fc0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00074fd0: 2069 643d 2269 646d 3139 3835 3622 3e3c   id="idm19856"><
│ │ │ -00074fe0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00074ff0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00075000: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00075010: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00075020: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00075030: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00075040: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00075050: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00075060: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00075070: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00075080: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00075090: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000750a0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000750b0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -000750c0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -000750d0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -000750e0: 7265 6d6f 7665 5f74 656c 6e65 7464 0a0a  remove_telnetd..
│ │ │ -000750f0: 636c 6173 7320 7265 6d6f 7665 5f74 656c  class remove_tel
│ │ │ -00075100: 6e65 7464 207b 0a20 2070 6163 6b61 6765  netd {.  package
│ │ │ -00075110: 207b 2027 7465 6c6e 6574 6427 3a0a 2020   { 'telnetd':.  
│ │ │ -00075120: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00075130: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -00075140: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00075150: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00075160: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00075170: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00075180: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00075190: 2223 6964 6d31 3938 3537 2220 7461 6269  "#idm19857" tabi
│ │ │ -000751a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -000751b0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -000751c0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -000751d0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000751e0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000751f0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00075200: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00075210: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00075220: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00075230: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00075240: 3d22 6964 6d31 3938 3537 223e 3c74 6162  ="idm19857"><tab
│ │ │ -00075250: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00075260: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00075270: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00075280: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00075290: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -000752a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000752b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000752c0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000752d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000752e0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000752f0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00075300: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00075310: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00075320: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00075330: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00075340: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -00075350: 7572 6520 7465 6c6e 6574 6420 6973 2072  ure telnetd is r
│ │ │ -00075360: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00075370: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ -00075380: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00075390: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -000753a0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -000753b0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -000753c0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -000753d0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -000753e0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -000753f0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00075400: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00075410: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00075420: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00075430: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00075440: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00075450: 6167 655f 7465 6c6e 6574 645f 7265 6d6f  age_telnetd_remo
│ │ │ -00075460: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ -00075470: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00075480: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00075490: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -000754a0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -000754b0: 7267 6574 3d22 2369 646d 3139 3835 3822  rget="#idm19858"
│ │ │ -000754c0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -000754d0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000754e0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000754f0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00075500: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00075510: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00075520: 6f6e 2053 6865 6c6c 2073 6372 6970 7420  on Shell script 
│ │ │ -00075530: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00075540: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00075550: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00075560: 6964 3d22 6964 6d31 3938 3538 223e 3c74  id="idm19858"><t
│ │ │ -00075570: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00075580: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00075590: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000755a0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -000755b0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -000755c0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -000755d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000755e0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -000755f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00075600: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00075610: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00075620: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00075630: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00075640: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00075650: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00075660: 3e3c 636f 6465 3e0a 2320 4341 5554 494f  ><code>.# CAUTIO
│ │ │ -00075670: 4e3a 2054 6869 7320 7265 6d65 6469 6174  N: This remediat
│ │ │ -00075680: 696f 6e20 7363 7269 7074 2077 696c 6c20  ion script will 
│ │ │ -00075690: 7265 6d6f 7665 2074 656c 6e65 7464 0a23  remove telnetd.#
│ │ │ -000756a0: 0920 2020 6672 6f6d 2074 6865 2073 7973  .   from the sys
│ │ │ -000756b0: 7465 6d2c 2061 6e64 206d 6179 2072 656d  tem, and may rem
│ │ │ -000756c0: 6f76 6520 616e 7920 7061 636b 6167 6573  ove any packages
│ │ │ -000756d0: 0a23 0920 2020 7468 6174 2064 6570 656e  .#.   that depen
│ │ │ -000756e0: 6420 6f6e 2074 656c 6e65 7464 2e20 4578  d on telnetd. Ex
│ │ │ -000756f0: 6563 7574 6520 7468 6973 0a23 0920 2020  ecute this.#.   
│ │ │ -00075700: 7265 6d65 6469 6174 696f 6e20 4146 5445  remediation AFTE
│ │ │ -00075710: 5220 7465 7374 696e 6720 6f6e 2061 206e  R testing on a n
│ │ │ -00075720: 6f6e 2d70 726f 6475 6374 696f 6e0a 2309  on-production.#.
│ │ │ -00075730: 2020 2073 7973 7465 6d21 0a0a 4445 4249     system!..DEBI
│ │ │ -00075740: 414e 5f46 524f 4e54 454e 443d 6e6f 6e69  AN_FRONTEND=noni
│ │ │ -00075750: 6e74 6572 6163 7469 7665 2061 7074 2d67  nteractive apt-g
│ │ │ -00075760: 6574 2072 656d 6f76 6520 2d79 2022 7465  et remove -y "te
│ │ │ -00075770: 6c6e 6574 6422 0a3c 2f63 6f64 653e 3c2f  lnetd".</code></
│ │ │ +00074f90: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00074fa0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00074fb0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00074fc0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00074fd0: 2220 6964 3d22 6964 6d31 3938 3536 223e  " id="idm19856">
│ │ │ +00074fe0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00074ff0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00075000: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00075010: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00075020: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00075030: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00075040: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00075050: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00075060: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00075070: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00075080: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00075090: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +000750a0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +000750b0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +000750c0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000750d0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +000750e0: 2045 6e73 7572 6520 7465 6c6e 6574 6420   Ensure telnetd 
│ │ │ +000750f0: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ +00075100: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +00075110: 7465 6c6e 6574 640a 2020 2020 7374 6174  telnetd.    stat
│ │ │ +00075120: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +00075130: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00075140: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ +00075150: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ +00075160: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +00075170: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ +00075180: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +00075190: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +000751a0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +000751b0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000751c0: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +000751d0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +000751e0: 7061 636b 6167 655f 7465 6c6e 6574 645f  package_telnetd_
│ │ │ +000751f0: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00075200: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00075210: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00075220: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00075230: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00075240: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +00075250: 3835 3722 2074 6162 696e 6465 783d 2230  857" tabindex="0
│ │ │ +00075260: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00075270: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00075280: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00075290: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +000752a0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000752b0: 6961 7469 6f6e 2053 6865 6c6c 2073 6372  iation Shell scr
│ │ │ +000752c0: 6970 7420 e287 b23c 2f61 3e3c 6272 3e3c  ipt ...</a><br><
│ │ │ +000752d0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000752e0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000752f0: 7365 2220 6964 3d22 6964 6d31 3938 3537  se" id="idm19857
│ │ │ +00075300: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00075310: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00075320: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00075330: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00075340: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00075350: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00075360: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00075370: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00075380: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00075390: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000753a0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000753b0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000753c0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +000753d0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +000753e0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +000753f0: 3c70 7265 3e3c 636f 6465 3e0a 2320 4341  <pre><code>.# CA
│ │ │ +00075400: 5554 494f 4e3a 2054 6869 7320 7265 6d65  UTION: This reme
│ │ │ +00075410: 6469 6174 696f 6e20 7363 7269 7074 2077  diation script w
│ │ │ +00075420: 696c 6c20 7265 6d6f 7665 2074 656c 6e65  ill remove telne
│ │ │ +00075430: 7464 0a23 0920 2020 6672 6f6d 2074 6865  td.#.   from the
│ │ │ +00075440: 2073 7973 7465 6d2c 2061 6e64 206d 6179   system, and may
│ │ │ +00075450: 2072 656d 6f76 6520 616e 7920 7061 636b   remove any pack
│ │ │ +00075460: 6167 6573 0a23 0920 2020 7468 6174 2064  ages.#.   that d
│ │ │ +00075470: 6570 656e 6420 6f6e 2074 656c 6e65 7464  epend on telnetd
│ │ │ +00075480: 2e20 4578 6563 7574 6520 7468 6973 0a23  . Execute this.#
│ │ │ +00075490: 0920 2020 7265 6d65 6469 6174 696f 6e20  .   remediation 
│ │ │ +000754a0: 4146 5445 5220 7465 7374 696e 6720 6f6e  AFTER testing on
│ │ │ +000754b0: 2061 206e 6f6e 2d70 726f 6475 6374 696f   a non-productio
│ │ │ +000754c0: 6e0a 2309 2020 2073 7973 7465 6d21 0a0a  n.#.   system!..
│ │ │ +000754d0: 4445 4249 414e 5f46 524f 4e54 454e 443d  DEBIAN_FRONTEND=
│ │ │ +000754e0: 6e6f 6e69 6e74 6572 6163 7469 7665 2061  noninteractive a
│ │ │ +000754f0: 7074 2d67 6574 2072 656d 6f76 6520 2d79  pt-get remove -y
│ │ │ +00075500: 2022 7465 6c6e 6574 6422 0a3c 2f63 6f64   "telnetd".</cod
│ │ │ +00075510: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00075520: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00075530: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00075540: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00075550: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00075560: 6d31 3938 3538 2220 7461 6269 6e64 6578  m19858" tabindex
│ │ │ +00075570: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00075580: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00075590: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +000755a0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000755b0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +000755c0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +000755d0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000755e0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000755f0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00075600: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00075610: 3139 3835 3822 3e3c 7461 626c 6520 636c  19858"><table cl
│ │ │ +00075620: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00075630: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00075640: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00075650: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00075660: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00075670: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00075680: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00075690: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000756a0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000756b0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +000756c0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000756d0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000756e0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +000756f0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00075700: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00075710: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ +00075720: 656c 6e65 7464 0a0a 636c 6173 7320 7265  elnetd..class re
│ │ │ +00075730: 6d6f 7665 5f74 656c 6e65 7464 207b 0a20  move_telnetd {. 
│ │ │ +00075740: 2070 6163 6b61 6765 207b 2027 7465 6c6e   package { 'teln
│ │ │ +00075750: 6574 6427 3a0a 2020 2020 656e 7375 7265  etd':.    ensure
│ │ │ +00075760: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +00075770: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  00075780: 7072 653e 3c2f 6469 763e 3c2f 6469 763e  pre></div></div>
│ │ │  00075790: 3c2f 7464 3e3c 2f74 723e 3c2f 7462 6f64  </td></tr></tbod
│ │ │  000757a0: 793e 3c2f 7461 626c 653e 3c2f 7464 3e3c  y></table></td><
│ │ │  000757b0: 2f74 723e 3c74 7220 6461 7461 2d74 742d  /tr><tr data-tt-
│ │ │  000757c0: 6964 3d22 6368 696c 6472 656e 2d78 6363  id="children-xcc
│ │ │  000757d0: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  000757e0: 742e 636f 6e74 656e 745f 6772 6f75 705f  t.content_group_
│ │ │ @@ -30520,180 +30520,180 @@
│ │ │  00077370: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00077380: 2223 6964 6d32 3035 3139 2220 7461 6269  "#idm20519" tabi
│ │ │  00077390: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  000773a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  000773b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  000773c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  000773d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000773e0: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -000773f0: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -00077400: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00077410: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077420: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077430: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00077440: 3035 3139 223e 3c70 7265 3e3c 636f 6465  0519"><pre><code
│ │ │ -00077450: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -00077460: 616d 6520 3d20 226e 7470 220a 7665 7273  ame = "ntp".vers
│ │ │ -00077470: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ -00077480: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00077490: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000774a0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000774b0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -000774c0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -000774d0: 3230 3532 3022 2074 6162 696e 6465 783d  20520" tabindex=
│ │ │ -000774e0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -000774f0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00077500: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00077510: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00077520: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00077530: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00077540: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00077550: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077560: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077570: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00077580: 3035 3230 223e 3c74 6162 6c65 2063 6c61  0520"><table cla
│ │ │ -00077590: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000775a0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000775b0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000775c0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000775d0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000775e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000775f0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077600: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077610: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077620: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077630: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077640: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077650: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00077660: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00077670: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00077680: 636c 7564 6520 696e 7374 616c 6c5f 6e74  clude install_nt
│ │ │ -00077690: 700a 0a63 6c61 7373 2069 6e73 7461 6c6c  p..class install
│ │ │ -000776a0: 5f6e 7470 207b 0a20 2070 6163 6b61 6765  _ntp {.  package
│ │ │ -000776b0: 207b 2027 6e74 7027 3a0a 2020 2020 656e   { 'ntp':.    en
│ │ │ -000776c0: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ -000776d0: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ -000776e0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -000776f0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00077700: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00077710: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00077720: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00077730: 2369 646d 3230 3532 3122 2074 6162 696e  #idm20521" tabin
│ │ │ -00077740: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00077750: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00077760: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00077770: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00077780: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00077790: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -000777a0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -000777b0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000777c0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000777d0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000777e0: 2269 646d 3230 3532 3122 3e3c 7461 626c  "idm20521"><tabl
│ │ │ -000777f0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00077800: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00077810: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00077820: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00077830: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00077840: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00077850: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00077860: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00077870: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00077880: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00077890: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000778a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000778b0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000778c0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -000778d0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -000778e0: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -000778f0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00077900: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00077910: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -00077920: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -00077930: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00077940: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -00077950: 5353 2d52 6571 2d31 302e 340a 2020 2d20  SS-Req-10.4.  - 
│ │ │ -00077960: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -00077970: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -00077980: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00077990: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000779a0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -000779b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000779c0: 2070 6163 6b61 6765 5f6e 7470 5f69 6e73   package_ntp_ins
│ │ │ -000779d0: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -000779e0: 456e 7375 7265 206e 7470 2069 7320 696e  Ensure ntp is in
│ │ │ -000779f0: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -00077a00: 653a 0a20 2020 206e 616d 653a 206e 7470  e:.    name: ntp
│ │ │ -00077a10: 0a20 2020 2073 7461 7465 3a20 7072 6573  .    state: pres
│ │ │ -00077a20: 656e 740a 2020 7768 656e 3a20 2722 6c69  ent.  when: '"li
│ │ │ -00077a30: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -00077a40: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -00077a50: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -00077a60: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00077a70: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -00077a80: 2d52 6571 2d31 302e 340a 2020 2d20 656e  -Req-10.4.  - en
│ │ │ -00077a90: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00077aa0: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ -00077ab0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00077ac0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00077ad0: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -00077ae0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00077af0: 6163 6b61 6765 5f6e 7470 5f69 6e73 7461  ackage_ntp_insta
│ │ │ -00077b00: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ -00077b10: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00077b20: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00077b30: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00077b40: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00077b50: 6172 6765 743d 2223 6964 6d32 3035 3232  arget="#idm20522
│ │ │ -00077b60: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00077b70: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00077b80: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00077b90: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00077ba0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00077bb0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00077bc0: 696f 6e20 5368 656c 6c20 7363 7269 7074  ion Shell script
│ │ │ -00077bd0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00077be0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00077bf0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00077c00: 2069 643d 2269 646d 3230 3532 3222 3e3c   id="idm20522"><
│ │ │ -00077c10: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00077c20: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00077c30: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00077c40: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00077c50: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00077c60: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00077c70: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077c80: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00077c90: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00077ca0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00077cb0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00077cc0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077cd0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00077ce0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -00077cf0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00077d00: 3e3c 636f 6465 3e23 2052 656d 6564 6961  ><code># Remedia
│ │ │ -00077d10: 7469 6f6e 2069 7320 6170 706c 6963 6162  tion is applicab
│ │ │ -00077d20: 6c65 206f 6e6c 7920 696e 2063 6572 7461  le only in certa
│ │ │ -00077d30: 696e 2070 6c61 7466 6f72 6d73 0a69 6620  in platforms.if 
│ │ │ -00077d40: 6470 6b67 2d71 7565 7279 202d 2d73 686f  dpkg-query --sho
│ │ │ -00077d50: 7720 2d2d 7368 6f77 666f 726d 6174 3d27  w --showformat='
│ │ │ -00077d60: 247b 6462 3a53 7461 7475 732d 5374 6174  ${db:Status-Stat
│ │ │ -00077d70: 7573 7d0a 2720 276c 696e 7578 2d62 6173  us}.' 'linux-bas
│ │ │ -00077d80: 6527 2032 2667 743b 2f64 6576 2f6e 756c  e' 2&gt;/dev/nul
│ │ │ -00077d90: 6c20 7c20 6772 6570 202d 7120 5e69 6e73  l | grep -q ^ins
│ │ │ -00077da0: 7461 6c6c 6564 3b20 7468 656e 0a0a 4445  talled; then..DE
│ │ │ -00077db0: 4249 414e 5f46 524f 4e54 454e 443d 6e6f  BIAN_FRONTEND=no
│ │ │ -00077dc0: 6e69 6e74 6572 6163 7469 7665 2061 7074  ninteractive apt
│ │ │ -00077dd0: 2d67 6574 2069 6e73 7461 6c6c 202d 7920  -get install -y 
│ │ │ -00077de0: 226e 7470 220a 0a65 6c73 650a 2020 2020  "ntp"..else.    
│ │ │ -00077df0: 2667 743b 2661 6d70 3b32 2065 6368 6f20  &gt;&amp;2 echo 
│ │ │ -00077e00: 2752 656d 6564 6961 7469 6f6e 2069 7320  'Remediation is 
│ │ │ -00077e10: 6e6f 7420 6170 706c 6963 6162 6c65 2c20  not applicable, 
│ │ │ -00077e20: 6e6f 7468 696e 6720 7761 7320 646f 6e65  nothing was done
│ │ │ -00077e30: 270a 6669 0a3c 2f63 6f64 653e 3c2f 7072  '.fi.</code></pr
│ │ │ +000773e0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +000773f0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00077400: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00077410: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00077420: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00077430: 3d22 6964 6d32 3035 3139 223e 3c74 6162  ="idm20519"><tab
│ │ │ +00077440: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00077450: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00077460: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00077470: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00077480: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00077490: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000774a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000774b0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000774c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000774d0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000774e0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000774f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00077500: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00077510: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00077520: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00077530: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +00077540: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +00077550: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +00077560: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +00077570: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +00077580: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00077590: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +000775a0: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ +000775b0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +000775c0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +000775d0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +000775e0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +000775f0: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00077600: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00077610: 2d20 7061 636b 6167 655f 6e74 705f 696e  - package_ntp_in
│ │ │ +00077620: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +00077630: 2045 6e73 7572 6520 6e74 7020 6973 2069   Ensure ntp is i
│ │ │ +00077640: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ +00077650: 6765 3a0a 2020 2020 6e61 6d65 3a20 6e74  ge:.    name: nt
│ │ │ +00077660: 700a 2020 2020 7374 6174 653a 2070 7265  p.    state: pre
│ │ │ +00077670: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ +00077680: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +00077690: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +000776a0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +000776b0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +000776c0: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +000776d0: 532d 5265 712d 3130 2e34 0a20 202d 2065  S-Req-10.4.  - e
│ │ │ +000776e0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +000776f0: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +00077700: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00077710: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00077720: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +00077730: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00077740: 7061 636b 6167 655f 6e74 705f 696e 7374  package_ntp_inst
│ │ │ +00077750: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00077760: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00077770: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00077780: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00077790: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +000777a0: 7461 7267 6574 3d22 2369 646d 3230 3532  target="#idm2052
│ │ │ +000777b0: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ +000777c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +000777d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +000777e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +000777f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00077800: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00077810: 7469 6f6e 2053 6865 6c6c 2073 6372 6970  tion Shell scrip
│ │ │ +00077820: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00077830: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00077840: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00077850: 2220 6964 3d22 6964 6d32 3035 3230 223e  " id="idm20520">
│ │ │ +00077860: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00077870: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00077880: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00077890: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000778a0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000778b0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000778c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000778d0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +000778e0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000778f0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00077900: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00077910: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00077920: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00077930: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00077940: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00077950: 653e 3c63 6f64 653e 2320 5265 6d65 6469  e><code># Remedi
│ │ │ +00077960: 6174 696f 6e20 6973 2061 7070 6c69 6361  ation is applica
│ │ │ +00077970: 626c 6520 6f6e 6c79 2069 6e20 6365 7274  ble only in cert
│ │ │ +00077980: 6169 6e20 706c 6174 666f 726d 730a 6966  ain platforms.if
│ │ │ +00077990: 2064 706b 672d 7175 6572 7920 2d2d 7368   dpkg-query --sh
│ │ │ +000779a0: 6f77 202d 2d73 686f 7766 6f72 6d61 743d  ow --showformat=
│ │ │ +000779b0: 2724 7b64 623a 5374 6174 7573 2d53 7461  '${db:Status-Sta
│ │ │ +000779c0: 7475 737d 0a27 2027 6c69 6e75 782d 6261  tus}.' 'linux-ba
│ │ │ +000779d0: 7365 2720 3226 6774 3b2f 6465 762f 6e75  se' 2&gt;/dev/nu
│ │ │ +000779e0: 6c6c 207c 2067 7265 7020 2d71 205e 696e  ll | grep -q ^in
│ │ │ +000779f0: 7374 616c 6c65 643b 2074 6865 6e0a 0a44  stalled; then..D
│ │ │ +00077a00: 4542 4941 4e5f 4652 4f4e 5445 4e44 3d6e  EBIAN_FRONTEND=n
│ │ │ +00077a10: 6f6e 696e 7465 7261 6374 6976 6520 6170  oninteractive ap
│ │ │ +00077a20: 742d 6765 7420 696e 7374 616c 6c20 2d79  t-get install -y
│ │ │ +00077a30: 2022 6e74 7022 0a0a 656c 7365 0a20 2020   "ntp"..else.   
│ │ │ +00077a40: 2026 6774 3b26 616d 703b 3220 6563 686f   &gt;&amp;2 echo
│ │ │ +00077a50: 2027 5265 6d65 6469 6174 696f 6e20 6973   'Remediation is
│ │ │ +00077a60: 206e 6f74 2061 7070 6c69 6361 626c 652c   not applicable,
│ │ │ +00077a70: 206e 6f74 6869 6e67 2077 6173 2064 6f6e   nothing was don
│ │ │ +00077a80: 6527 0a66 690a 3c2f 636f 6465 3e3c 2f70  e'.fi.</code></p
│ │ │ +00077a90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00077aa0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00077ab0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00077ac0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00077ad0: 7461 7267 6574 3d22 2369 646d 3230 3532  target="#idm2052
│ │ │ +00077ae0: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ +00077af0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00077b00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00077b10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00077b20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00077b30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00077b40: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +00077b50: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +00077b60: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00077b70: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00077b80: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00077b90: 643d 2269 646d 3230 3532 3122 3e3c 7072  d="idm20521"><pr
│ │ │ +00077ba0: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ +00077bb0: 6765 735d 5d0a 6e61 6d65 203d 2022 6e74  ges]].name = "nt
│ │ │ +00077bc0: 7022 0a76 6572 7369 6f6e 203d 2022 2a22  p".version = "*"
│ │ │ +00077bd0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00077be0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00077bf0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00077c00: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00077c10: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00077c20: 743d 2223 6964 6d32 3035 3232 2220 7461  t="#idm20522" ta
│ │ │ +00077c30: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00077c40: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00077c50: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00077c60: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00077c70: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00077c80: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00077c90: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00077ca0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00077cb0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00077cc0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00077cd0: 643d 2269 646d 3230 3532 3222 3e3c 7461  d="idm20522"><ta
│ │ │ +00077ce0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00077cf0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00077d00: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00077d10: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00077d20: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00077d30: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00077d40: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00077d50: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00077d60: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00077d70: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00077d80: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00077d90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00077da0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00077db0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00077dc0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00077dd0: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ +00077de0: 7461 6c6c 5f6e 7470 0a0a 636c 6173 7320  tall_ntp..class 
│ │ │ +00077df0: 696e 7374 616c 6c5f 6e74 7020 7b0a 2020  install_ntp {.  
│ │ │ +00077e00: 7061 636b 6167 6520 7b20 276e 7470 273a  package { 'ntp':
│ │ │ +00077e10: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00077e20: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +00077e30: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  00077e40: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  00077e50: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  00077e60: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  00077e70: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  00077e80: 3d22 7863 6364 665f 6f72 672e 7373 6770  ="xccdf_org.ssgp
│ │ │  00077e90: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f72  roject.content_r
│ │ │  00077ea0: 756c 655f 7365 7276 6963 655f 6e74 705f  ule_service_ntp_
│ │ │ @@ -30921,157 +30921,157 @@
│ │ │  00078c80: 2d74 6172 6765 743d 2223 6964 6d32 3036  -target="#idm206
│ │ │  00078c90: 3631 2220 7461 6269 6e64 6578 3d22 3022  61" tabindex="0"
│ │ │  00078ca0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00078cb0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00078cc0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00078cd0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00078ce0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00078cf0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -00078d00: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -00078d10: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00078d20: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00078d30: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00078d40: 6964 3d22 6964 6d32 3036 3631 223e 3c70  id="idm20661"><p
│ │ │ -00078d50: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ -00078d60: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ -00078d70: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ -00078d80: 6e74 7022 5d0a 3c2f 636f 6465 3e3c 2f70  ntp"].</code></p
│ │ │ -00078d90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00078da0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00078db0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00078dc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00078dd0: 7461 7267 6574 3d22 2369 646d 3230 3636  target="#idm2066
│ │ │ -00078de0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -00078df0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00078e00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00078e10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00078e20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00078e30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00078e40: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00078e50: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00078e60: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00078e70: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00078e80: 7365 2220 6964 3d22 6964 6d32 3036 3632  se" id="idm20662
│ │ │ -00078e90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00078ea0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00078eb0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00078ec0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00078ed0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00078ee0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00078ef0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00078f00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00078f10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00078f20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00078f30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00078f40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00078f50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00078f60: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00078f70: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00078f80: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00078f90: 6520 656e 6162 6c65 5f6e 7470 0a0a 636c  e enable_ntp..cl
│ │ │ -00078fa0: 6173 7320 656e 6162 6c65 5f6e 7470 207b  ass enable_ntp {
│ │ │ -00078fb0: 0a20 2073 6572 7669 6365 207b 276e 7470  .  service {'ntp
│ │ │ -00078fc0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -00078fd0: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -00078fe0: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -00078ff0: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -00079000: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00079010: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00079020: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00079030: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00079040: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00079050: 646d 3230 3636 3322 2074 6162 696e 6465  dm20663" tabinde
│ │ │ -00079060: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00079070: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00079080: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00079090: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -000790a0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000790b0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -000790c0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -000790d0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000790e0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000790f0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00079100: 646d 3230 3636 3322 3e3c 7461 626c 6520  dm20663"><table 
│ │ │ -00079110: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00079120: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00079130: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00079140: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00079150: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00079160: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079170: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00079180: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00079190: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000791a0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -000791b0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -000791c0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -000791d0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -000791e0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000791f0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00079200: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -00079210: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00079220: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -00079230: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -00079240: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -00079250: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00079260: 3828 3129 2861 290a 2020 2d20 4e49 5354  8(1)(a).  - NIST
│ │ │ -00079270: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00079280: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -00079290: 3130 2e34 0a20 202d 2050 4349 2d44 5353  10.4.  - PCI-DSS
│ │ │ -000792a0: 7634 2d31 302e 360a 2020 2d20 5043 492d  v4-10.6.  - PCI-
│ │ │ -000792b0: 4453 5376 342d 3130 2e36 2e31 0a20 202d  DSSv4-10.6.1.  -
│ │ │ -000792c0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -000792d0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -000792e0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -000792f0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00079300: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -00079310: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00079320: 2d20 7365 7276 6963 655f 6e74 705f 656e  - service_ntp_en
│ │ │ -00079330: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ -00079340: 6e61 626c 6520 7468 6520 4e54 5020 4461  nable the NTP Da
│ │ │ -00079350: 656d 6f6e 202d 2045 6e61 626c 6520 7365  emon - Enable se
│ │ │ -00079360: 7276 6963 6520 6e74 700a 2020 626c 6f63  rvice ntp.  bloc
│ │ │ -00079370: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ -00079380: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00079390: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ -000793a0: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ -000793b0: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ -000793c0: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ -000793d0: 7468 6520 4e54 5020 4461 656d 6f6e 202d  the NTP Daemon -
│ │ │ -000793e0: 2045 6e61 626c 6520 5365 7276 6963 6520   Enable Service 
│ │ │ -000793f0: 6e74 700a 2020 2020 616e 7369 626c 652e  ntp.    ansible.
│ │ │ -00079400: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ -00079410: 0a20 2020 2020 206e 616d 653a 206e 7470  .      name: ntp
│ │ │ -00079420: 0a20 2020 2020 2065 6e61 626c 6564 3a20  .      enabled: 
│ │ │ -00079430: 7472 7565 0a20 2020 2020 2073 7461 7465  true.      state
│ │ │ -00079440: 3a20 7374 6172 7465 640a 2020 2020 2020  : started.      
│ │ │ -00079450: 6d61 736b 6564 3a20 6661 6c73 650a 2020  masked: false.  
│ │ │ -00079460: 2020 7768 656e 3a0a 2020 2020 2d20 2722    when:.    - '"
│ │ │ -00079470: 6e74 7022 2069 6e20 616e 7369 626c 655f  ntp" in ansible_
│ │ │ -00079480: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -00079490: 2020 7768 656e 3a0a 2020 2d20 2722 6c69    when:.  - '"li
│ │ │ -000794a0: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -000794b0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -000794c0: 6765 7327 0a20 202d 2027 226e 7470 2220  ges'.  - '"ntp" 
│ │ │ -000794d0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -000794e0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -000794f0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00079500: 3533 2d41 552d 3828 3129 2861 290a 2020  53-AU-8(1)(a).  
│ │ │ -00079510: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00079520: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ -00079530: 532d 5265 712d 3130 2e34 0a20 202d 2050  S-Req-10.4.  - P
│ │ │ -00079540: 4349 2d44 5353 7634 2d31 302e 360a 2020  CI-DSSv4-10.6.  
│ │ │ -00079550: 2d20 5043 492d 4453 5376 342d 3130 2e36  - PCI-DSSv4-10.6
│ │ │ -00079560: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ -00079570: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ -00079580: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ -00079590: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -000795a0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -000795b0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -000795c0: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -000795d0: 6e74 705f 656e 6162 6c65 640a 3c2f 636f  ntp_enabled.</co
│ │ │ +00078cf0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00078d00: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00078d10: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00078d20: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00078d30: 6170 7365 2220 6964 3d22 6964 6d32 3036  apse" id="idm206
│ │ │ +00078d40: 3631 223e 3c74 6162 6c65 2063 6c61 7373  61"><table class
│ │ │ +00078d50: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00078d60: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00078d70: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00078d80: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00078d90: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00078da0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00078db0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00078dc0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00078dd0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00078de0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00078df0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00078e00: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00078e10: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00078e20: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00078e30: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00078e40: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00078e50: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00078e60: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00078e70: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00078e80: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00078e90: 2d38 3030 2d35 332d 4155 2d38 2831 2928  -800-53-AU-8(1)(
│ │ │ +00078ea0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00078eb0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +00078ec0: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ +00078ed0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +00078ee0: 2e36 0a20 202d 2050 4349 2d44 5353 7634  .6.  - PCI-DSSv4
│ │ │ +00078ef0: 2d31 302e 362e 310a 2020 2d20 656e 6162  -10.6.1.  - enab
│ │ │ +00078f00: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00078f10: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ +00078f20: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00078f30: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00078f40: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +00078f50: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +00078f60: 7669 6365 5f6e 7470 5f65 6e61 626c 6564  vice_ntp_enabled
│ │ │ +00078f70: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ +00078f80: 2074 6865 204e 5450 2044 6165 6d6f 6e20   the NTP Daemon 
│ │ │ +00078f90: 2d20 456e 6162 6c65 2073 6572 7669 6365  - Enable service
│ │ │ +00078fa0: 206e 7470 0a20 2062 6c6f 636b 3a0a 0a20   ntp.  block:.. 
│ │ │ +00078fb0: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ +00078fc0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +00078fd0: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ +00078fe0: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ +00078ff0: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ +00079000: 6d65 3a20 456e 6162 6c65 2074 6865 204e  me: Enable the N
│ │ │ +00079010: 5450 2044 6165 6d6f 6e20 2d20 456e 6162  TP Daemon - Enab
│ │ │ +00079020: 6c65 2053 6572 7669 6365 206e 7470 0a20  le Service ntp. 
│ │ │ +00079030: 2020 2061 6e73 6962 6c65 2e62 7569 6c74     ansible.built
│ │ │ +00079040: 696e 2e73 7973 7465 6d64 3a0a 2020 2020  in.systemd:.    
│ │ │ +00079050: 2020 6e61 6d65 3a20 6e74 700a 2020 2020    name: ntp.    
│ │ │ +00079060: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ +00079070: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ +00079080: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ +00079090: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ +000790a0: 6e3a 0a20 2020 202d 2027 226e 7470 2220  n:.    - '"ntp" 
│ │ │ +000790b0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +000790c0: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ +000790d0: 6e3a 0a20 202d 2027 226c 696e 7578 2d62  n:.  - '"linux-b
│ │ │ +000790e0: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +000790f0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00079100: 2020 2d20 2722 6e74 7022 2069 6e20 616e    - '"ntp" in an
│ │ │ +00079110: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00079120: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00079130: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00079140: 2d38 2831 2928 6129 0a20 202d 204e 4953  -8(1)(a).  - NIS
│ │ │ +00079150: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00079160: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +00079170: 2d31 302e 340a 2020 2d20 5043 492d 4453  -10.4.  - PCI-DS
│ │ │ +00079180: 5376 342d 3130 2e36 0a20 202d 2050 4349  Sv4-10.6.  - PCI
│ │ │ +00079190: 2d44 5353 7634 2d31 302e 362e 310a 2020  -DSSv4-10.6.1.  
│ │ │ +000791a0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +000791b0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +000791c0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +000791d0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000791e0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +000791f0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00079200: 202d 2073 6572 7669 6365 5f6e 7470 5f65   - service_ntp_e
│ │ │ +00079210: 6e61 626c 6564 0a3c 2f63 6f64 653e 3c2f  nabled.</code></
│ │ │ +00079220: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00079230: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00079240: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00079250: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00079260: 2d74 6172 6765 743d 2223 6964 6d32 3036  -target="#idm206
│ │ │ +00079270: 3632 2220 7461 6269 6e64 6578 3d22 3022  62" tabindex="0"
│ │ │ +00079280: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00079290: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000792a0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000792b0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000792c0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +000792d0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +000792e0: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +000792f0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00079300: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00079310: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00079320: 6964 3d22 6964 6d32 3036 3632 223e 3c70  id="idm20662"><p
│ │ │ +00079330: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +00079340: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +00079350: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +00079360: 6e74 7022 5d0a 3c2f 636f 6465 3e3c 2f70  ntp"].</code></p
│ │ │ +00079370: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00079380: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00079390: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +000793a0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +000793b0: 7461 7267 6574 3d22 2369 646d 3230 3636  target="#idm2066
│ │ │ +000793c0: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ +000793d0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +000793e0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +000793f0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00079400: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00079410: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00079420: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00079430: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00079440: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00079450: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00079460: 7365 2220 6964 3d22 6964 6d32 3036 3633  se" id="idm20663
│ │ │ +00079470: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00079480: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00079490: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +000794a0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +000794b0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +000794c0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +000794d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000794e0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000794f0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00079500: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00079510: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00079520: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00079530: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00079540: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00079550: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00079560: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00079570: 6520 656e 6162 6c65 5f6e 7470 0a0a 636c  e enable_ntp..cl
│ │ │ +00079580: 6173 7320 656e 6162 6c65 5f6e 7470 207b  ass enable_ntp {
│ │ │ +00079590: 0a20 2073 6572 7669 6365 207b 276e 7470  .  service {'ntp
│ │ │ +000795a0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ +000795b0: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ +000795c0: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ +000795d0: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │  000795e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  000795f0: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00079600: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00079610: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00079620: 612d 7474 2d69 643d 2263 6869 6c64 7265  a-tt-id="childre
│ │ │  00079630: 6e2d 7863 6364 665f 6f72 672e 7373 6770  n-xccdf_org.ssgp
│ │ │  00079640: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f67  roject.content_g
│ │ │ @@ -34715,204 +34715,204 @@
│ │ │  000879a0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000879b0: 6d32 3436 3437 2220 7461 6269 6e64 6578  m24647" tabindex
│ │ │  000879c0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  000879d0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  000879e0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  000879f0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00087a00: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00087a10: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ -00087a20: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ -00087a30: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00087a40: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00087a50: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00087a60: 7365 2220 6964 3d22 6964 6d32 3436 3437  se" id="idm24647
│ │ │ -00087a70: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ -00087a80: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ -00087a90: 3d20 2261 7564 6974 6422 0a76 6572 7369  = "auditd".versi
│ │ │ -00087aa0: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ -00087ab0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00087ac0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00087ad0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00087ae0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00087af0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00087b00: 3436 3438 2220 7461 6269 6e64 6578 3d22  4648" tabindex="
│ │ │ -00087b10: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00087b20: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00087b30: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00087b40: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00087b50: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00087b60: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00087b70: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00087b80: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00087b90: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00087ba0: 6c61 7073 6522 2069 643d 2269 646d 3234  lapse" id="idm24
│ │ │ -00087bb0: 3634 3822 3e3c 7461 626c 6520 636c 6173  648"><table clas
│ │ │ -00087bc0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00087bd0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00087be0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00087bf0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00087c00: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00087c10: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00087c20: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00087c30: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00087c40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00087c50: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00087c60: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00087c70: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00087c80: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00087c90: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00087ca0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00087cb0: 6c75 6465 2069 6e73 7461 6c6c 5f61 7564  lude install_aud
│ │ │ -00087cc0: 6974 640a 0a63 6c61 7373 2069 6e73 7461  itd..class insta
│ │ │ -00087cd0: 6c6c 5f61 7564 6974 6420 7b0a 2020 7061  ll_auditd {.  pa
│ │ │ -00087ce0: 636b 6167 6520 7b20 2761 7564 6974 6427  ckage { 'auditd'
│ │ │ -00087cf0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -00087d00: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ -00087d10: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00087d20: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00087d30: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00087d40: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00087d50: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00087d60: 7461 7267 6574 3d22 2369 646d 3234 3634  target="#idm2464
│ │ │ -00087d70: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ -00087d80: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00087d90: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00087da0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00087db0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00087dc0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00087dd0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00087de0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00087df0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00087e00: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00087e10: 7073 6522 2069 643d 2269 646d 3234 3634  pse" id="idm2464
│ │ │ -00087e20: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ -00087e30: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00087e40: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00087e50: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00087e60: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00087e70: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00087e80: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00087e90: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00087ea0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00087eb0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00087ec0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00087ed0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00087ee0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00087ef0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00087f00: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00087f10: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00087f20: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -00087f30: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -00087f40: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00087f50: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -00087f60: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00087f70: 3830 302d 3533 2d41 432d 3728 6129 0a20  800-53-AC-7(a). 
│ │ │ -00087f80: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00087f90: 552d 3132 2832 290a 2020 2d20 4e49 5354  U-12(2).  - NIST
│ │ │ -00087fa0: 2d38 3030 2d35 332d 4155 2d31 340a 2020  -800-53-AU-14.  
│ │ │ -00087fb0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00087fc0: 2d32 2861 290a 2020 2d20 4e49 5354 2d38  -2(a).  - NIST-8
│ │ │ -00087fd0: 3030 2d35 332d 4155 2d37 2831 290a 2020  00-53-AU-7(1).  
│ │ │ -00087fe0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00087ff0: 2d37 2832 290a 2020 2d20 4e49 5354 2d38  -7(2).  - NIST-8
│ │ │ -00088000: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00088010: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ -00088020: 2e31 0a20 202d 2050 4349 2d44 5353 7634  .1.  - PCI-DSSv4
│ │ │ -00088030: 2d31 302e 320a 2020 2d20 5043 492d 4453  -10.2.  - PCI-DS
│ │ │ -00088040: 5376 342d 3130 2e32 2e31 0a20 202d 2065  Sv4-10.2.1.  - e
│ │ │ -00088050: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00088060: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00088070: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00088080: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00088090: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000880a0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000880b0: 2d20 7061 636b 6167 655f 6175 6469 745f  - package_audit_
│ │ │ -000880c0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -000880d0: 653a 2045 6e73 7572 6520 6175 6469 7464  e: Ensure auditd
│ │ │ -000880e0: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ -000880f0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -00088100: 653a 2061 7564 6974 640a 2020 2020 7374  e: auditd.    st
│ │ │ -00088110: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -00088120: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00088130: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00088140: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00088150: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00088160: 3030 2d35 332d 4143 2d37 2861 290a 2020  00-53-AC-7(a).  
│ │ │ -00088170: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00088180: 2d31 3228 3229 0a20 202d 204e 4953 542d  -12(2).  - NIST-
│ │ │ -00088190: 3830 302d 3533 2d41 552d 3134 0a20 202d  800-53-AU-14.  -
│ │ │ -000881a0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -000881b0: 3228 6129 0a20 202d 204e 4953 542d 3830  2(a).  - NIST-80
│ │ │ -000881c0: 302d 3533 2d41 552d 3728 3129 0a20 202d  0-53-AU-7(1).  -
│ │ │ -000881d0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -000881e0: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ -000881f0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00088200: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -00088210: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ -00088220: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ -00088230: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ -00088240: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00088250: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00088260: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00088270: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00088280: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00088290: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000882a0: 2070 6163 6b61 6765 5f61 7564 6974 5f69   package_audit_i
│ │ │ -000882b0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ -000882c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -000882d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000882e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -000882f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00088300: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00088310: 3436 3530 2220 7461 6269 6e64 6578 3d22  4650" tabindex="
│ │ │ -00088320: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00088330: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00088340: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00088350: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00088360: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00088370: 6469 6174 696f 6e20 5368 656c 6c20 7363  diation Shell sc
│ │ │ -00088380: 7269 7074 20e2 87b2 3c2f 613e 3c62 723e  ript ...</a><br>
│ │ │ -00088390: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -000883a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000883b0: 7073 6522 2069 643d 2269 646d 3234 3635  pse" id="idm2465
│ │ │ -000883c0: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ -000883d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -000883e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -000883f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00088400: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00088410: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00088420: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00088430: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00088440: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00088450: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00088460: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00088470: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00088480: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00088490: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -000884a0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -000884b0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d  <pre><code># Rem
│ │ │ -000884c0: 6564 6961 7469 6f6e 2069 7320 6170 706c  ediation is appl
│ │ │ -000884d0: 6963 6162 6c65 206f 6e6c 7920 696e 2063  icable only in c
│ │ │ -000884e0: 6572 7461 696e 2070 6c61 7466 6f72 6d73  ertain platforms
│ │ │ -000884f0: 0a69 6620 6470 6b67 2d71 7565 7279 202d  .if dpkg-query -
│ │ │ -00088500: 2d73 686f 7720 2d2d 7368 6f77 666f 726d  -show --showform
│ │ │ -00088510: 6174 3d27 247b 6462 3a53 7461 7475 732d  at='${db:Status-
│ │ │ -00088520: 5374 6174 7573 7d0a 2720 276c 696e 7578  Status}.' 'linux
│ │ │ -00088530: 2d62 6173 6527 2032 2667 743b 2f64 6576  -base' 2&gt;/dev
│ │ │ -00088540: 2f6e 756c 6c20 7c20 6772 6570 202d 7120  /null | grep -q 
│ │ │ -00088550: 5e69 6e73 7461 6c6c 6564 3b20 7468 656e  ^installed; then
│ │ │ -00088560: 0a0a 4445 4249 414e 5f46 524f 4e54 454e  ..DEBIAN_FRONTEN
│ │ │ -00088570: 443d 6e6f 6e69 6e74 6572 6163 7469 7665  D=noninteractive
│ │ │ -00088580: 2061 7074 2d67 6574 2069 6e73 7461 6c6c   apt-get install
│ │ │ -00088590: 202d 7920 2261 7564 6974 6422 0a0a 656c   -y "auditd"..el
│ │ │ -000885a0: 7365 0a20 2020 2026 6774 3b26 616d 703b  se.    &gt;&amp;
│ │ │ -000885b0: 3220 6563 686f 2027 5265 6d65 6469 6174  2 echo 'Remediat
│ │ │ -000885c0: 696f 6e20 6973 206e 6f74 2061 7070 6c69  ion is not appli
│ │ │ -000885d0: 6361 626c 652c 206e 6f74 6869 6e67 2077  cable, nothing w
│ │ │ -000885e0: 6173 2064 6f6e 6527 0a66 690a 3c2f 636f  as done'.fi.</co
│ │ │ +00087a10: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00087a20: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00087a30: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00087a40: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00087a50: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00087a60: 6d32 3436 3437 223e 3c74 6162 6c65 2063  m24647"><table c
│ │ │ +00087a70: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00087a80: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00087a90: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00087aa0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00087ab0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00087ac0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00087ad0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00087ae0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00087af0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00087b00: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00087b10: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00087b20: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00087b30: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00087b40: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00087b50: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00087b60: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00087b70: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00087b80: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00087b90: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00087ba0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00087bb0: 4e49 5354 2d38 3030 2d35 332d 4143 2d37  NIST-800-53-AC-7
│ │ │ +00087bc0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00087bd0: 2d35 332d 4155 2d31 3228 3229 0a20 202d  -53-AU-12(2).  -
│ │ │ +00087be0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00087bf0: 3134 0a20 202d 204e 4953 542d 3830 302d  14.  - NIST-800-
│ │ │ +00087c00: 3533 2d41 552d 3228 6129 0a20 202d 204e  53-AU-2(a).  - N
│ │ │ +00087c10: 4953 542d 3830 302d 3533 2d41 552d 3728  IST-800-53-AU-7(
│ │ │ +00087c20: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ +00087c30: 3533 2d41 552d 3728 3229 0a20 202d 204e  53-AU-7(2).  - N
│ │ │ +00087c40: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00087c50: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ +00087c60: 6571 2d31 302e 310a 2020 2d20 5043 492d  eq-10.1.  - PCI-
│ │ │ +00087c70: 4453 5376 342d 3130 2e32 0a20 202d 2050  DSSv4-10.2.  - P
│ │ │ +00087c80: 4349 2d44 5353 7634 2d31 302e 322e 310a  CI-DSSv4-10.2.1.
│ │ │ +00087c90: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +00087ca0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00087cb0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00087cc0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00087cd0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00087ce0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00087cf0: 6564 0a20 202d 2070 6163 6b61 6765 5f61  ed.  - package_a
│ │ │ +00087d00: 7564 6974 5f69 6e73 7461 6c6c 6564 0a0a  udit_installed..
│ │ │ +00087d10: 2d20 6e61 6d65 3a20 456e 7375 7265 2061  - name: Ensure a
│ │ │ +00087d20: 7564 6974 6420 6973 2069 6e73 7461 6c6c  uditd is install
│ │ │ +00087d30: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00087d40: 2020 6e61 6d65 3a20 6175 6469 7464 0a20    name: auditd. 
│ │ │ +00087d50: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00087d60: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00087d70: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00087d80: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00087d90: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +00087da0: 4953 542d 3830 302d 3533 2d41 432d 3728  IST-800-53-AC-7(
│ │ │ +00087db0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00087dc0: 3533 2d41 552d 3132 2832 290a 2020 2d20  53-AU-12(2).  - 
│ │ │ +00087dd0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +00087de0: 340a 2020 2d20 4e49 5354 2d38 3030 2d35  4.  - NIST-800-5
│ │ │ +00087df0: 332d 4155 2d32 2861 290a 2020 2d20 4e49  3-AU-2(a).  - NI
│ │ │ +00087e00: 5354 2d38 3030 2d35 332d 4155 2d37 2831  ST-800-53-AU-7(1
│ │ │ +00087e10: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +00087e20: 332d 4155 2d37 2832 290a 2020 2d20 4e49  3-AU-7(2).  - NI
│ │ │ +00087e30: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00087e40: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +00087e50: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ +00087e60: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ +00087e70: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ +00087e80: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +00087e90: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +00087ea0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00087eb0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00087ec0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00087ed0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00087ee0: 640a 2020 2d20 7061 636b 6167 655f 6175  d.  - package_au
│ │ │ +00087ef0: 6469 745f 696e 7374 616c 6c65 640a 3c2f  dit_installed.</
│ │ │ +00087f00: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00087f10: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00087f20: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00087f30: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00087f40: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00087f50: 2369 646d 3234 3634 3822 2074 6162 696e  #idm24648" tabin
│ │ │ +00087f60: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00087f70: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00087f80: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00087f90: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00087fa0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00087fb0: 3e52 656d 6564 6961 7469 6f6e 2053 6865  >Remediation She
│ │ │ +00087fc0: 6c6c 2073 6372 6970 7420 e287 b23c 2f61  ll script ...</a
│ │ │ +00087fd0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00087fe0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00087ff0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00088000: 6d32 3436 3438 223e 3c74 6162 6c65 2063  m24648"><table c
│ │ │ +00088010: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00088020: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00088030: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00088040: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00088050: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00088060: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00088070: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00088080: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00088090: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000880a0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +000880b0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +000880c0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000880d0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000880e0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000880f0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00088100: 2320 5265 6d65 6469 6174 696f 6e20 6973  # Remediation is
│ │ │ +00088110: 2061 7070 6c69 6361 626c 6520 6f6e 6c79   applicable only
│ │ │ +00088120: 2069 6e20 6365 7274 6169 6e20 706c 6174   in certain plat
│ │ │ +00088130: 666f 726d 730a 6966 2064 706b 672d 7175  forms.if dpkg-qu
│ │ │ +00088140: 6572 7920 2d2d 7368 6f77 202d 2d73 686f  ery --show --sho
│ │ │ +00088150: 7766 6f72 6d61 743d 2724 7b64 623a 5374  wformat='${db:St
│ │ │ +00088160: 6174 7573 2d53 7461 7475 737d 0a27 2027  atus-Status}.' '
│ │ │ +00088170: 6c69 6e75 782d 6261 7365 2720 3226 6774  linux-base' 2&gt
│ │ │ +00088180: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265  ;/dev/null | gre
│ │ │ +00088190: 7020 2d71 205e 696e 7374 616c 6c65 643b  p -q ^installed;
│ │ │ +000881a0: 2074 6865 6e0a 0a44 4542 4941 4e5f 4652   then..DEBIAN_FR
│ │ │ +000881b0: 4f4e 5445 4e44 3d6e 6f6e 696e 7465 7261  ONTEND=nonintera
│ │ │ +000881c0: 6374 6976 6520 6170 742d 6765 7420 696e  ctive apt-get in
│ │ │ +000881d0: 7374 616c 6c20 2d79 2022 6175 6469 7464  stall -y "auditd
│ │ │ +000881e0: 220a 0a65 6c73 650a 2020 2020 2667 743b  "..else.    &gt;
│ │ │ +000881f0: 2661 6d70 3b32 2065 6368 6f20 2752 656d  &amp;2 echo 'Rem
│ │ │ +00088200: 6564 6961 7469 6f6e 2069 7320 6e6f 7420  ediation is not 
│ │ │ +00088210: 6170 706c 6963 6162 6c65 2c20 6e6f 7468  applicable, noth
│ │ │ +00088220: 696e 6720 7761 7320 646f 6e65 270a 6669  ing was done'.fi
│ │ │ +00088230: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00088240: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00088250: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00088260: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00088270: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00088280: 743d 2223 6964 6d32 3436 3439 2220 7461  t="#idm24649" ta
│ │ │ +00088290: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +000882a0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +000882b0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +000882c0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +000882d0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +000882e0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +000882f0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +00088300: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00088310: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00088320: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00088330: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00088340: 6d32 3436 3439 223e 3c70 7265 3e3c 636f  m24649"><pre><co
│ │ │ +00088350: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ +00088360: 0a6e 616d 6520 3d20 2261 7564 6974 6422  .name = "auditd"
│ │ │ +00088370: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ +00088380: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00088390: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +000883a0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +000883b0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000883c0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000883d0: 2223 6964 6d32 3436 3530 2220 7461 6269  "#idm24650" tabi
│ │ │ +000883e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000883f0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00088400: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00088410: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00088420: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00088430: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00088440: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00088450: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00088460: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00088470: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00088480: 2269 646d 3234 3635 3022 3e3c 7461 626c  "idm24650"><tabl
│ │ │ +00088490: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +000884a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +000884b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000884c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000884d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000884e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000884f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00088500: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00088510: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00088520: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00088530: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00088540: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00088550: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00088560: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00088570: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00088580: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +00088590: 6c6c 5f61 7564 6974 640a 0a63 6c61 7373  ll_auditd..class
│ │ │ +000885a0: 2069 6e73 7461 6c6c 5f61 7564 6974 6420   install_auditd 
│ │ │ +000885b0: 7b0a 2020 7061 636b 6167 6520 7b20 2761  {.  package { 'a
│ │ │ +000885c0: 7564 6974 6427 3a0a 2020 2020 656e 7375  uditd':.    ensu
│ │ │ +000885d0: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +000885e0: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │  000885f0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00088600: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00088610: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00088620: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00088630: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  00088640: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  00088650: 6e74 656e 745f 7275 6c65 5f73 6572 7669  ntent_rule_servi
│ │ │ @@ -35322,191 +35322,191 @@
│ │ │  00089f90: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00089fa0: 3d22 2369 646d 3234 3834 3822 2074 6162  ="#idm24848" tab
│ │ │  00089fb0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  00089fc0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  00089fd0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  00089fe0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  00089ff0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0008a000: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0008a010: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0008a020: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0008a030: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0008a040: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0008a050: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0008a060: 3234 3834 3822 3e3c 7072 653e 3c63 6f64  24848"><pre><cod
│ │ │ -0008a070: 653e 0a5b 6375 7374 6f6d 697a 6174 696f  e>.[customizatio
│ │ │ -0008a080: 6e73 2e73 6572 7669 6365 735d 0a65 6e61  ns.services].ena
│ │ │ -0008a090: 626c 6564 203d 205b 2261 7564 6974 6422  bled = ["auditd"
│ │ │ -0008a0a0: 5d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ].</code></pre><
│ │ │ -0008a0b0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0008a0c0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0008a0d0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0008a0e0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0008a0f0: 6574 3d22 2369 646d 3234 3834 3922 2074  et="#idm24849" t
│ │ │ -0008a100: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0008a110: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0008a120: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0008a130: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0008a140: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0008a150: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0008a160: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -0008a170: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0008a180: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0008a190: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0008a1a0: 6964 3d22 6964 6d32 3438 3439 223e 3c74  id="idm24849"><t
│ │ │ -0008a1b0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0008a1c0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0008a1d0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0008a1e0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0008a1f0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0008a200: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0008a210: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0008a220: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0008a230: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0008a240: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0008a250: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0008a260: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0008a270: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0008a280: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0008a290: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0008a2a0: 3c63 6f64 653e 696e 636c 7564 6520 656e  <code>include en
│ │ │ -0008a2b0: 6162 6c65 5f61 7564 6974 640a 0a63 6c61  able_auditd..cla
│ │ │ -0008a2c0: 7373 2065 6e61 626c 655f 6175 6469 7464  ss enable_auditd
│ │ │ -0008a2d0: 207b 0a20 2073 6572 7669 6365 207b 2761   {.  service {'a
│ │ │ -0008a2e0: 7564 6974 6427 3a0a 2020 2020 656e 6162  uditd':.    enab
│ │ │ -0008a2f0: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ -0008a300: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -0008a310: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ -0008a320: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0008a330: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0008a340: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0008a350: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0008a360: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0008a370: 743d 2223 6964 6d32 3438 3530 2220 7461  t="#idm24850" ta
│ │ │ -0008a380: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0008a390: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0008a3a0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0008a3b0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0008a3c0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0008a3d0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0008a3e0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -0008a3f0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0008a400: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0008a410: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0008a420: 6964 3d22 6964 6d32 3438 3530 223e 3c74  id="idm24850"><t
│ │ │ -0008a430: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0008a440: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0008a450: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0008a460: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0008a470: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0008a480: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0008a490: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0008a4a0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0008a4b0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0008a4c0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0008a4d0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0008a4e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0008a4f0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0008a500: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0008a510: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0008a520: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -0008a530: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -0008a540: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -0008a550: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -0008a560: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -0008a570: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31  :.  - CJIS-5.4.1
│ │ │ -0008a580: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ -0008a590: 3137 312d 332e 332e 310a 2020 2d20 4e49  171-3.3.1.  - NI
│ │ │ -0008a5a0: 5354 2d38 3030 2d31 3731 2d33 2e33 2e32  ST-800-171-3.3.2
│ │ │ -0008a5b0: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -0008a5c0: 312d 332e 332e 360a 2020 2d20 4e49 5354  1-3.3.6.  - NIST
│ │ │ -0008a5d0: 2d38 3030 2d35 332d 4143 2d32 2867 290a  -800-53-AC-2(g).
│ │ │ -0008a5e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008a5f0: 4143 2d36 2839 290a 2020 2d20 4e49 5354  AC-6(9).  - NIST
│ │ │ -0008a600: 2d38 3030 2d35 332d 4155 2d31 300a 2020  -800-53-AU-10.  
│ │ │ -0008a610: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -0008a620: 2d31 3228 6329 0a20 202d 204e 4953 542d  -12(c).  - NIST-
│ │ │ -0008a630: 3830 302d 3533 2d41 552d 3134 2831 290a  800-53-AU-14(1).
│ │ │ -0008a640: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008a650: 4155 2d32 2864 290a 2020 2d20 4e49 5354  AU-2(d).  - NIST
│ │ │ -0008a660: 2d38 3030 2d35 332d 4155 2d33 0a20 202d  -800-53-AU-3.  -
│ │ │ -0008a670: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -0008a680: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -0008a690: 302d 3533 2d53 492d 3428 3233 290a 2020  0-53-SI-4(23).  
│ │ │ -0008a6a0: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ -0008a6b0: 2e31 0a20 202d 2050 4349 2d44 5353 7634  .1.  - PCI-DSSv4
│ │ │ -0008a6c0: 2d31 302e 320a 2020 2d20 5043 492d 4453  -10.2.  - PCI-DS
│ │ │ -0008a6d0: 5376 342d 3130 2e32 2e31 0a20 202d 2065  Sv4-10.2.1.  - e
│ │ │ -0008a6e0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0008a6f0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0008a700: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0008a710: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0008a720: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0008a730: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0008a740: 2d20 7365 7276 6963 655f 6175 6469 7464  - service_auditd
│ │ │ -0008a750: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ -0008a760: 3a20 456e 6162 6c65 2061 7564 6974 6420  : Enable auditd 
│ │ │ -0008a770: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -0008a780: 2073 6572 7669 6365 2061 7564 6974 640a   service auditd.
│ │ │ -0008a790: 2020 626c 6f63 6b3a 0a0a 2020 2d20 6e61    block:..  - na
│ │ │ -0008a7a0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -0008a7b0: 6163 6b61 6765 2066 6163 7473 0a20 2020  ackage facts.   
│ │ │ -0008a7c0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0008a7d0: 2020 2020 2020 6d61 6e61 6765 723a 2061        manager: a
│ │ │ -0008a7e0: 7574 6f0a 0a20 202d 206e 616d 653a 2045  uto..  - name: E
│ │ │ -0008a7f0: 6e61 626c 6520 6175 6469 7464 2053 6572  nable auditd Ser
│ │ │ -0008a800: 7669 6365 202d 2045 6e61 626c 6520 5365  vice - Enable Se
│ │ │ -0008a810: 7276 6963 6520 6175 6469 7464 0a20 2020  rvice auditd.   
│ │ │ -0008a820: 2061 6e73 6962 6c65 2e62 7569 6c74 696e   ansible.builtin
│ │ │ -0008a830: 2e73 7973 7465 6d64 3a0a 2020 2020 2020  .systemd:.      
│ │ │ -0008a840: 6e61 6d65 3a20 6175 6469 7464 0a20 2020  name: auditd.   
│ │ │ -0008a850: 2020 2065 6e61 626c 6564 3a20 7472 7565     enabled: true
│ │ │ -0008a860: 0a20 2020 2020 2073 7461 7465 3a20 7374  .      state: st
│ │ │ -0008a870: 6172 7465 640a 2020 2020 2020 6d61 736b  arted.      mask
│ │ │ -0008a880: 6564 3a20 6661 6c73 650a 2020 2020 7768  ed: false.    wh
│ │ │ -0008a890: 656e 3a0a 2020 2020 2d20 2722 6175 6469  en:.    - '"audi
│ │ │ -0008a8a0: 7464 2220 696e 2061 6e73 6962 6c65 5f66  td" in ansible_f
│ │ │ -0008a8b0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0008a8c0: 2077 6865 6e3a 0a20 202d 2027 226c 696e   when:.  - '"lin
│ │ │ -0008a8d0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -0008a8e0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -0008a8f0: 6573 270a 2020 2d20 2722 6175 6469 7464  es'.  - '"auditd
│ │ │ -0008a900: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -0008a910: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -0008a920: 6167 733a 0a20 202d 2043 4a49 532d 352e  ags:.  - CJIS-5.
│ │ │ -0008a930: 342e 312e 310a 2020 2d20 4e49 5354 2d38  4.1.1.  - NIST-8
│ │ │ -0008a940: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d  00-171-3.3.1.  -
│ │ │ -0008a950: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -0008a960: 332e 320a 2020 2d20 4e49 5354 2d38 3030  3.2.  - NIST-800
│ │ │ -0008a970: 2d31 3731 2d33 2e33 2e36 0a20 202d 204e  -171-3.3.6.  - N
│ │ │ -0008a980: 4953 542d 3830 302d 3533 2d41 432d 3228  IST-800-53-AC-2(
│ │ │ -0008a990: 6729 0a20 202d 204e 4953 542d 3830 302d  g).  - NIST-800-
│ │ │ -0008a9a0: 3533 2d41 432d 3628 3929 0a20 202d 204e  53-AC-6(9).  - N
│ │ │ -0008a9b0: 4953 542d 3830 302d 3533 2d41 552d 3130  IST-800-53-AU-10
│ │ │ -0008a9c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008a9d0: 2d41 552d 3132 2863 290a 2020 2d20 4e49  -AU-12(c).  - NI
│ │ │ -0008a9e0: 5354 2d38 3030 2d35 332d 4155 2d31 3428  ST-800-53-AU-14(
│ │ │ -0008a9f0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -0008aa00: 3533 2d41 552d 3228 6429 0a20 202d 204e  53-AU-2(d).  - N
│ │ │ -0008aa10: 4953 542d 3830 302d 3533 2d41 552d 330a  IST-800-53-AU-3.
│ │ │ -0008aa20: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008aa30: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ -0008aa40: 2d38 3030 2d35 332d 5349 2d34 2832 3329  -800-53-SI-4(23)
│ │ │ -0008aa50: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0008aa60: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -0008aa70: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -0008aa80: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -0008aa90: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -0008aaa0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -0008aab0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -0008aac0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -0008aad0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -0008aae0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0008aaf0: 0a20 202d 2073 6572 7669 6365 5f61 7564  .  - service_aud
│ │ │ -0008ab00: 6974 645f 656e 6162 6c65 640a 3c2f 636f  itd_enabled.</co
│ │ │ +0008a000: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0008a010: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0008a020: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0008a030: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0008a040: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0008a050: 643d 2269 646d 3234 3834 3822 3e3c 7461  d="idm24848"><ta
│ │ │ +0008a060: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0008a070: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0008a080: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0008a090: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0008a0a0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0008a0b0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0008a0c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008a0d0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0008a0e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0008a0f0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0008a100: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0008a110: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008a120: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0008a130: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0008a140: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0008a150: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +0008a160: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +0008a170: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +0008a180: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +0008a190: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +0008a1a0: 0a20 202d 2043 4a49 532d 352e 342e 312e  .  - CJIS-5.4.1.
│ │ │ +0008a1b0: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ +0008a1c0: 3731 2d33 2e33 2e31 0a20 202d 204e 4953  71-3.3.1.  - NIS
│ │ │ +0008a1d0: 542d 3830 302d 3137 312d 332e 332e 320a  T-800-171-3.3.2.
│ │ │ +0008a1e0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +0008a1f0: 2d33 2e33 2e36 0a20 202d 204e 4953 542d  -3.3.6.  - NIST-
│ │ │ +0008a200: 3830 302d 3533 2d41 432d 3228 6729 0a20  800-53-AC-2(g). 
│ │ │ +0008a210: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008a220: 432d 3628 3929 0a20 202d 204e 4953 542d  C-6(9).  - NIST-
│ │ │ +0008a230: 3830 302d 3533 2d41 552d 3130 0a20 202d  800-53-AU-10.  -
│ │ │ +0008a240: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008a250: 3132 2863 290a 2020 2d20 4e49 5354 2d38  12(c).  - NIST-8
│ │ │ +0008a260: 3030 2d35 332d 4155 2d31 3428 3129 0a20  00-53-AU-14(1). 
│ │ │ +0008a270: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008a280: 552d 3228 6429 0a20 202d 204e 4953 542d  U-2(d).  - NIST-
│ │ │ +0008a290: 3830 302d 3533 2d41 552d 330a 2020 2d20  800-53-AU-3.  - 
│ │ │ +0008a2a0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0008a2b0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +0008a2c0: 2d35 332d 5349 2d34 2832 3329 0a20 202d  -53-SI-4(23).  -
│ │ │ +0008a2d0: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +0008a2e0: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ +0008a2f0: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ +0008a300: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ +0008a310: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0008a320: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0008a330: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0008a340: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0008a350: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0008a360: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0008a370: 2073 6572 7669 6365 5f61 7564 6974 645f   service_auditd_
│ │ │ +0008a380: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ +0008a390: 2045 6e61 626c 6520 6175 6469 7464 2053   Enable auditd S
│ │ │ +0008a3a0: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +0008a3b0: 7365 7276 6963 6520 6175 6469 7464 0a20  service auditd. 
│ │ │ +0008a3c0: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ +0008a3d0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +0008a3e0: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ +0008a3f0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +0008a400: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ +0008a410: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ +0008a420: 6162 6c65 2061 7564 6974 6420 5365 7276  able auditd Serv
│ │ │ +0008a430: 6963 6520 2d20 456e 6162 6c65 2053 6572  ice - Enable Ser
│ │ │ +0008a440: 7669 6365 2061 7564 6974 640a 2020 2020  vice auditd.    
│ │ │ +0008a450: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ +0008a460: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ +0008a470: 616d 653a 2061 7564 6974 640a 2020 2020  ame: auditd.    
│ │ │ +0008a480: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ +0008a490: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ +0008a4a0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ +0008a4b0: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ +0008a4c0: 6e3a 0a20 2020 202d 2027 2261 7564 6974  n:.    - '"audit
│ │ │ +0008a4d0: 6422 2069 6e20 616e 7369 626c 655f 6661  d" in ansible_fa
│ │ │ +0008a4e0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0008a4f0: 7768 656e 3a0a 2020 2d20 2722 6c69 6e75  when:.  - '"linu
│ │ │ +0008a500: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +0008a510: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +0008a520: 7327 0a20 202d 2027 2261 7564 6974 6422  s'.  - '"auditd"
│ │ │ +0008a530: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +0008a540: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +0008a550: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34  gs:.  - CJIS-5.4
│ │ │ +0008a560: 2e31 2e31 0a20 202d 204e 4953 542d 3830  .1.1.  - NIST-80
│ │ │ +0008a570: 302d 3137 312d 332e 332e 310a 2020 2d20  0-171-3.3.1.  - 
│ │ │ +0008a580: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ +0008a590: 2e32 0a20 202d 204e 4953 542d 3830 302d  .2.  - NIST-800-
│ │ │ +0008a5a0: 3137 312d 332e 332e 360a 2020 2d20 4e49  171-3.3.6.  - NI
│ │ │ +0008a5b0: 5354 2d38 3030 2d35 332d 4143 2d32 2867  ST-800-53-AC-2(g
│ │ │ +0008a5c0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0008a5d0: 332d 4143 2d36 2839 290a 2020 2d20 4e49  3-AC-6(9).  - NI
│ │ │ +0008a5e0: 5354 2d38 3030 2d35 332d 4155 2d31 300a  ST-800-53-AU-10.
│ │ │ +0008a5f0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008a600: 4155 2d31 3228 6329 0a20 202d 204e 4953  AU-12(c).  - NIS
│ │ │ +0008a610: 542d 3830 302d 3533 2d41 552d 3134 2831  T-800-53-AU-14(1
│ │ │ +0008a620: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0008a630: 332d 4155 2d32 2864 290a 2020 2d20 4e49  3-AU-2(d).  - NI
│ │ │ +0008a640: 5354 2d38 3030 2d35 332d 4155 2d33 0a20  ST-800-53-AU-3. 
│ │ │ +0008a650: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0008a660: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +0008a670: 3830 302d 3533 2d53 492d 3428 3233 290a  800-53-SI-4(23).
│ │ │ +0008a680: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +0008a690: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ +0008a6a0: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ +0008a6b0: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ +0008a6c0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +0008a6d0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0008a6e0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0008a6f0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +0008a700: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +0008a710: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0008a720: 2020 2d20 7365 7276 6963 655f 6175 6469    - service_audi
│ │ │ +0008a730: 7464 5f65 6e61 626c 6564 0a3c 2f63 6f64  td_enabled.</cod
│ │ │ +0008a740: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0008a750: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0008a760: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0008a770: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0008a780: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0008a790: 6d32 3438 3439 2220 7461 6269 6e64 6578  m24849" tabindex
│ │ │ +0008a7a0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0008a7b0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0008a7c0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0008a7d0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0008a7e0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0008a7f0: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +0008a800: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +0008a810: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0008a820: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0008a830: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0008a840: 7365 2220 6964 3d22 6964 6d32 3438 3439  se" id="idm24849
│ │ │ +0008a850: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +0008a860: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +0008a870: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +0008a880: 3d20 5b22 6175 6469 7464 225d 0a3c 2f63  = ["auditd"].</c
│ │ │ +0008a890: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +0008a8a0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +0008a8b0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +0008a8c0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +0008a8d0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +0008a8e0: 6964 6d32 3438 3530 2220 7461 6269 6e64  idm24850" tabind
│ │ │ +0008a8f0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +0008a900: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +0008a910: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +0008a920: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +0008a930: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +0008a940: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +0008a950: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +0008a960: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0008a970: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0008a980: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0008a990: 646d 3234 3835 3022 3e3c 7461 626c 6520  dm24850"><table 
│ │ │ +0008a9a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0008a9b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0008a9c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0008a9d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0008a9e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0008a9f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0008aa00: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0008aa10: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0008aa20: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0008aa30: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0008aa40: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0008aa50: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0008aa60: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +0008aa70: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0008aa80: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0008aa90: 3e69 6e63 6c75 6465 2065 6e61 626c 655f  >include enable_
│ │ │ +0008aaa0: 6175 6469 7464 0a0a 636c 6173 7320 656e  auditd..class en
│ │ │ +0008aab0: 6162 6c65 5f61 7564 6974 6420 7b0a 2020  able_auditd {.  
│ │ │ +0008aac0: 7365 7276 6963 6520 7b27 6175 6469 7464  service {'auditd
│ │ │ +0008aad0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ +0008aae0: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ +0008aaf0: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ +0008ab00: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │  0008ab10: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  0008ab20: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  0008ab30: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  0008ab40: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0008ab50: 3e3c 2f74 6162 6c65 3e3c 2f64 6976 3e3c  ></table></div><
│ │ │  0008ab60: 6469 7620 6964 3d22 7265 6172 2d6d 6174  div id="rear-mat
│ │ │  0008ab70: 7465 7222 3e3c 6469 7620 636c 6173 733d  ter"><div class=
│ │ │ ├── html2text {}
│ │ │ │ @@ -1631,31 +1631,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1692,14 +1675,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee rrssyysslloogg SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The rsyslog service provides syslog-style logging by default on Debian 12. The
│ │ │ │  rsyslog service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable rsyslog.service
│ │ │ │  Rationale:  The rsyslog service must be running in order to provide logging
│ │ │ │              services, which are essential to system administration.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1716,31 +1716,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1776,14 +1759,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3561,31 +3561,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3626,14 +3609,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee ccrroonn SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The crond service is used to execute commands at preconfigured times. It is
│ │ │ │  required by almost all systems to perform necessary maintenance tasks, such as
│ │ │ │  notifying root of system activity. The cron service can be enabled with the
│ │ │ │  following command:
│ │ │ │  $ sudo systemctl enable cron.service
│ │ │ │  Rationale:  Due to its usage for maintenance and security-supporting tasks,
│ │ │ │ @@ -3655,31 +3655,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 1.3, SR 1.4, SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR
│ │ │ │                             1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR 2.5, SR 2.6,
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["cron"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3713,14 +3696,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["cron"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Deprecated services   Group contains 5 rules
│ │ │ │  _[_r_e_f_]   Some deprecated software services impact the overall system security
│ │ │ │  due to their behavior (leak of confidentiality in network exchange, usage as
│ │ │ │  uncontrolled communication channel, risk associated with the service due to its
│ │ │ │  old age, etc.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee iinneett--bbaasseedd tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The inet-based telnet daemon should be uninstalled.
│ │ │ │ @@ -3744,26 +3744,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -3788,33 +3776,33 @@
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -The support for Yellowpages should not be installed unless it is required.
│ │ │ │ -           NIS is the historical SUN service for central account management,
│ │ │ │ -Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ -           security constraints, ACL, etc. and should not be used.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │  
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +The support for Yellowpages should not be installed unless it is required.
│ │ │ │ +           NIS is the historical SUN service for central account management,
│ │ │ │ +Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │ +           security constraints, ACL, etc. and should not be used.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -3836,34 +3824,34 @@
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"
│ │ │ │ -****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ -ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ -uninstalled.
│ │ │ │ -           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ -Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ -           cryptographic mechanisms integrated in NTP.
│ │ │ │ -Severity:  low
│ │ │ │ -Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ +include remove_nis
│ │ │ │  
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │      ensure => 'purged',
│ │ │ │    }
│ │ │ │  }
│ │ │ │ +****** RRuullee? ?  UUnniinnssttaallll tthhee nnttppddaattee ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │ +ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │ +uninstalled.
│ │ │ │ +           ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │ +Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │ +           cryptographic mechanisms integrated in NTP.
│ │ │ │ +Severity:  low
│ │ │ │ +Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -3885,14 +3873,26 @@
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee ssssll ccoommpplliiaanntt tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon, even with ssl support, should be uninstalled.
│ │ │ │  Rationale:  telnet, even with ssl support, should not be installed. When remote
│ │ │ │              shell is required, up-to-date ssh daemon can be used.
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed
│ │ │ │              _c_i_s_-_c_s_c        11, 12, 14, 15, 3, 8, 9
│ │ │ │ @@ -3910,26 +3910,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -3954,14 +3942,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The telnet daemon should be uninstalled.
│ │ │ │              telnet allows clear text communications, and does not protect any
│ │ │ │  Rationale:  data transmission between client and server. Any confidential data
│ │ │ │              can be listened and no integrity checking is made.'
│ │ │ │  Severity:   high
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnetd_removed
│ │ │ │ @@ -3980,26 +3980,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4024,14 +4012,26 @@
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   Network Time Protocol   Group contains 2 rules
│ │ │ │  _[_r_e_f_]   The Network Time Protocol is used to manage the system clock over a
│ │ │ │  network. Computer clocks are not very accurate, so time will drift
│ │ │ │  unpredictably on unmanaged systems. Central time protocols can be used both to
│ │ │ │  ensure that time is consistent among a network of systems, and that their time
│ │ │ │  is consistent with the outside world.
│ │ │ │  
│ │ │ │ @@ -4093,31 +4093,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4156,14 +4139,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee tthhee NNTTPP DDaaeemmoonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The ntp service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable ntp.service
│ │ │ │              Enabling the ntp service ensures that the ntp service will be
│ │ │ │              running and that the system will synchronize its time to any
│ │ │ │              servers specified. This is important whether the system is
│ │ │ │              configured to be a client (and synchronize only its own clock) or
│ │ │ │ @@ -4183,31 +4183,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4251,14 +4234,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5158,31 +5158,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5237,14 +5220,31 @@
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      >&2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  ****** RRuullee? ?  EEnnaabbllee aauuddiittdd SSeerrvviiccee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The auditd service is an essential userspace component of the Linux Auditing
│ │ │ │  System, as it is responsible for writing audit records to disk. The auditd
│ │ │ │  service can be enabled with the following command:
│ │ │ │  $ sudo systemctl enable auditd.service
│ │ │ │              Without establishing what type of events occurred, it would be
│ │ │ │              difficult to establish, correlate, and investigate the events
│ │ │ │ @@ -5306,31 +5306,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5396,11 +5379,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-ds.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-ds.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -105,181 +105,181 @@
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">os-srg</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://www.niap-ccevs.org/Profile/PP.cfm">ospp</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">pcidss</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">pcidss4</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cunix-linux">stigid</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/srg-stig-tools/">stigref</xccdf-1.2:reference>
│ │ │ │        <cpe-lang:platform-specification>
│ │ │ │ -        <cpe-lang:platform id="package_sudo">
│ │ │ │ +        <cpe-lang:platform id="package_logrotate">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │ +        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="package_pam">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │ +        <cpe-lang:platform id="package_systemd">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_iptables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │ +        <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="package_audit">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_logrotate">
│ │ │ │ +        <cpe-lang:platform id="package_sudo">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_rsyslog">
│ │ │ │ +        <cpe-lang:platform id="aarch64_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +        <cpe-lang:platform id="package_ntp">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="x86_64_arch">
│ │ │ │ +        <cpe-lang:platform id="package_rsh-server">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_shadow-utils">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_pam">
│ │ │ │ +        <cpe-lang:platform id="package_rsyslog">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_gdm">
│ │ │ │ +        <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_net-snmp">
│ │ │ │ +        <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_gdm">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="machine">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_rsh-server">
│ │ │ │ +        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_systemd">
│ │ │ │ +        <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_ntp">
│ │ │ │ +        <cpe-lang:platform id="system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_chrony">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_postfix">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="machine">
│ │ │ │ +        <cpe-lang:platform id="package_net-snmp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="aarch64_arch">
│ │ │ │ +        <cpe-lang:platform id="x86_64_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_audit">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="system_with_kernel">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │        </cpe-lang:platform-specification>
│ │ │ │        <xccdf-1.2:platform idref="cpe:/o:debian:debian_linux:11"/>
│ │ │ │        <xccdf-1.2:version update="https://github.com/ComplianceAsCode/content/releases/latest">0.1.76</xccdf-1.2:version>
│ │ │ │        <xccdf-1.2:metadata>
│ │ │ │          <dc:publisher>SCAP Security Guide Project</dc:publisher>
│ │ │ │          <dc:creator>SCAP Security Guide Project</dc:creator>
│ │ │ │          <dc:contributor>Frank J Cameron (CAM1244) &lt;cameron@ctc.com&gt;</dc:contributor>
│ │ │ │ @@ -1340,24 +1340,14 @@
│ │ │ │                    <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-3</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-11.5</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000445-GPOS-00199</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R76</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R79</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">11.5.2</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:rationale>The AIDE package must be installed if it is to be available for integrity checking.</xccdf-1.2:rationale>
│ │ │ │ -                  <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -                  <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                    <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.10.1.3
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-11.5
│ │ │ │ @@ -1390,14 +1380,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +                  <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +                  <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                    <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                      <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_aide_installed:def:1"/>
│ │ │ │                    </xccdf-1.2:check>
│ │ │ │                    <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                      <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_aide_installed_ocil:questionnaire:1"/>
│ │ │ │                    </xccdf-1.2:check>
│ │ │ │                  </xccdf-1.2:Rule>
│ │ │ │ @@ -3428,36 +3428,36 @@
│ │ │ │                <xccdf-1.2:rationale>GnuTLS is a secure communications library implementing the SSL, TLS and DTLS
│ │ │ │  protocols and technologies around them. It provides a simple C language
│ │ │ │  application programming interface (API) to access the secure communications
│ │ │ │  protocols as well as APIs to parse and write X.509, PKCS #12, OpenPGP and
│ │ │ │  other required structures.
│ │ │ │  This package contains command line TLS client and server and certificate
│ │ │ │  manipulation tools.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ -name = "gnutls-utils"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ -
│ │ │ │ -class install_gnutls-utils {
│ │ │ │ -  package { 'gnutls-utils':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure gnutls-utils is installed
│ │ │ │    package:
│ │ │ │      name: gnutls-utils
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_gnutls-utils_installed</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "gnutls-utils"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ +name = "gnutls-utils"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ +
│ │ │ │ +class install_gnutls-utils {
│ │ │ │ +  package { 'gnutls-utils':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_gnutls-utils_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -3477,36 +3477,36 @@
│ │ │ │  support cross-platform development of security-enabled client and
│ │ │ │  server applications. Install the
│ │ │ │                  <html:code>nss-tools</html:code>
│ │ │ │                  package
│ │ │ │  to install command-line tools to manipulate the NSS certificate
│ │ │ │  and key database.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ -name = "nss-tools"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ -
│ │ │ │ -class install_nss-tools {
│ │ │ │ -  package { 'nss-tools':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure nss-tools is installed
│ │ │ │    package:
│ │ │ │      name: nss-tools
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nss-tools_installed</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "nss-tools"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ +name = "nss-tools"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ +
│ │ │ │ +class install_nss-tools {
│ │ │ │ +  package { 'nss-tools':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_nss-tools_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -9350,24 +9350,14 @@
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000479-GPOS-00224</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000051-GPOS-00024</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -9394,14 +9384,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_rsyslog_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -9489,24 +9489,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>rsyslog</html:code>
│ │ │ │                service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -9537,14 +9527,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_rsyslog_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -11155,24 +11155,14 @@
│ │ │ │                  service can be enabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl enable systemd-journald.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-001665</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">SC-24</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000269-GPOS-00103</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>In the event of a system failure, Debian 11 must preserve any information necessary to determine cause of failure and any information necessary to return to operations with least disruption to system processes.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ -enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ -
│ │ │ │ -class enable_systemd-journald {
│ │ │ │ -  service {'systemd-journald':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -11201,14 +11191,24 @@
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_systemd-journald_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ +enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ +
│ │ │ │ +class enable_systemd-journald {
│ │ │ │ +  service {'systemd-journald':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_systemd-journald_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -11295,24 +11295,14 @@
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.7</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5.1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The logrotate package provides the logrotate services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.7
│ │ │ │    - PCI-DSSv4-10.5
│ │ │ │ @@ -11345,14 +11335,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_logrotate_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -11577,24 +11577,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The syslog-ng-core package provides the syslog-ng daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -11621,14 +11611,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_syslogng_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -11717,24 +11717,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  The
│ │ │ │                  <html:code>syslog-ng</html:code>
│ │ │ │                  service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -11765,14 +11755,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_syslogng_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -12289,24 +12289,14 @@
│ │ │ │                  <xccdf-1.2:rationale>
│ │ │ │                    The
│ │ │ │                    <html:code>ip6tables</html:code>
│ │ │ │                    service provides the system's host-based firewalling
│ │ │ │  capability for IPv6 and ICMPv6.
│ │ │ │                  </xccdf-1.2:rationale>
│ │ │ │                  <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ -enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ -
│ │ │ │ -class enable_ip6tables {
│ │ │ │ -  service {'ip6tables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -12343,14 +12333,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ip6tables_enabled</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ +enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ +
│ │ │ │ +class enable_ip6tables {
│ │ │ │ +  service {'ip6tables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ip6tables_enabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                  <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │ @@ -12495,24 +12495,14 @@
│ │ │ │                  <xccdf-1.2:rationale>
│ │ │ │                    The
│ │ │ │                    <html:code>iptables</html:code>
│ │ │ │                    service provides the system's host-based firewalling
│ │ │ │  capability for IPv4 and ICMP.
│ │ │ │                  </xccdf-1.2:rationale>
│ │ │ │                  <xccdf-1.2:platform idref="#package_iptables_and_service_disabled_firewalld_and_system_with_kernel"/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ -enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ -
│ │ │ │ -class enable_iptables {
│ │ │ │ -  service {'iptables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -12550,14 +12540,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_iptables_enabled</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ +enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ +
│ │ │ │ +class enable_iptables {
│ │ │ │ +  service {'iptables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_iptables_enabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                  <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │ @@ -14694,24 +14694,14 @@
│ │ │ │                  service can be enabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl enable ufw.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-002314</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000297-GPOS-00115</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The ufw service must be enabled and running in order for ufw to protect the system</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_ufw_and_system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ -enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ -
│ │ │ │ -class enable_ufw {
│ │ │ │ -  service {'ufw':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -14740,14 +14730,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ufw_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ +enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ +
│ │ │ │ +class enable_ufw {
│ │ │ │ +  service {'ufw':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ufw_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -21808,24 +21808,14 @@
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The cron service allow periodic job execution, needed for almost all administrative tasks and services (software update, log rotating, etc.). Access to cron service should be restricted to administrative accounts only.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -21856,14 +21846,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_cron_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_cron_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -21950,24 +21950,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.14.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.9.1.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Due to its usage for maintenance and security-supporting tasks,
│ │ │ │  enabling the cron daemon is essential.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ -enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -21996,14 +21986,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ +enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_cron_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_cron_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -22107,21 +22107,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                allows clear text communications, and does not protect any
│ │ │ │  data transmission between client and server. Any confidential data can be
│ │ │ │  listened and no integrity checking is made.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │      name: inetutils-telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -22135,30 +22128,30 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_inetutils-telnetd_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_nis_removed" severity="low">
│ │ │ │              <xccdf-1.2:title>Uninstall the nis package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>The support for Yellowpages should not be installed unless it is required.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>NIS is the historical SUN service for central account management, more and more replaced by LDAP.
│ │ │ │  NIS does not support efficiently security constraints, ACL, etc. and should not be used.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │      name: nis
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22169,29 +22162,29 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_nis_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_ntpdate_removed" severity="low">
│ │ │ │              <xccdf-1.2:title>Uninstall the ntpdate package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>ntpdate is a historical ntp synchronization client for unixes. It sould be uninstalled.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>ntpdate is an old not security-compliant ntp client. It should be replaced by modern ntp clients such as ntpd, able to use cryptographic mechanisms integrated in NTP.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │      name: ntpdate
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22202,14 +22195,21 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_ntpdate_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed" severity="high">
│ │ │ │              <xccdf-1.2:title>Uninstall the ssl compliant telnet server</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>
│ │ │ │ @@ -22308,21 +22308,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                , even with ssl support, should not be installed.
│ │ │ │  When remote shell is required, up-to-date ssh daemon can be used.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │      name: telnetd-ssl
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -22336,14 +22329,21 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_telnetd-ssl_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_telnetd_removed" severity="high">
│ │ │ │              <xccdf-1.2:title>Uninstall the telnet server</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>The telnet daemon should be uninstalled.</xccdf-1.2:description>
│ │ │ │ @@ -22439,21 +22439,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                allows clear text communications, and does not protect
│ │ │ │  any data transmission between client and server. Any confidential data
│ │ │ │  can be listened and no integrity checking is made.'
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │      name: telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -22467,14 +22460,21 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_telnetd_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │          </xccdf-1.2:Group>
│ │ │ │          <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_dhcp">
│ │ │ │            <xccdf-1.2:title>DHCP</xccdf-1.2:title>
│ │ │ │ @@ -22822,24 +22822,14 @@
│ │ │ │                package can be installed with the following command:
│ │ │ │                <html:pre>$ apt-get install postfix</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000139</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000046-GPOS-00022</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Emails can be used to notify designated personnel about important
│ │ │ │  system events such as failures or warnings.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ -name = "postfix"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ -
│ │ │ │ -class install_postfix {
│ │ │ │ -  package { 'postfix':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -22864,14 +22854,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "postfix"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ +name = "postfix"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ +
│ │ │ │ +class install_postfix {
│ │ │ │ +  package { 'postfix':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_postfix_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_postfix_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -23220,24 +23220,14 @@
│ │ │ │  
│ │ │ │  The
│ │ │ │                    <html:code>netfs</html:code>
│ │ │ │                    service can be disabled with the following command:
│ │ │ │                    <html:pre>$ sudo systemctl mask --now netfs.service</html:pre>
│ │ │ │                  </xccdf-1.2:description>
│ │ │ │                  <xccdf-1.2:rationale/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ -masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ -
│ │ │ │ -class disable_netfs {
│ │ │ │ -  service {'netfs':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -23305,14 +23295,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_netfs_disabled
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ +masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ +
│ │ │ │ +class disable_netfs {
│ │ │ │ +  service {'netfs':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_netfs_disabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │              </xccdf-1.2:Group>
│ │ │ │            </xccdf-1.2:Group>
│ │ │ │            <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_nfs_configuring_servers">
│ │ │ │ @@ -23469,24 +23469,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6.1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Time synchronization is important to support time sensitive security mechanisms like
│ │ │ │  Kerberos and also ensures log files have consistent time records across the enterprise,
│ │ │ │  which aids in forensic investigations.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - PCI-DSSv4-10.6
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │ @@ -23517,14 +23507,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_chrony_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_chrony_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -23560,24 +23560,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Time synchronization (using NTP) is required by almost all network and administrative tasks (syslog, cryptographic based services (authentication, etc.), etc.). Ntpd is regulary maintained and updated, supporting security features such as RFC 5906.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │ @@ -23606,14 +23596,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_ntp_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_ntp_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -23633,24 +23633,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-004923</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">0988</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1405</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If chrony is in use on the system proper configuration is vital to ensuring time
│ │ │ │  synchronization is working properly.</xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_chrony"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ -enabled = ["chronyd"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chronyd
│ │ │ │ -
│ │ │ │ -class enable_chronyd {
│ │ │ │ -  service {'chronyd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -23679,14 +23669,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_chronyd_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ +enabled = ["chronyd"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chronyd
│ │ │ │ +
│ │ │ │ +class enable_chronyd {
│ │ │ │ +  service {'chronyd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_chronyd_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -23748,24 +23748,14 @@
│ │ │ │                <html:br/>
│ │ │ │                The NTP daemon offers all of the functionality of
│ │ │ │                <html:code>ntpdate</html:code>
│ │ │ │                , which is now
│ │ │ │  deprecated.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_ntp"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ -enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-8(1)(a)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │ @@ -23804,14 +23794,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ +enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ntp_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -24169,21 +24169,14 @@
│ │ │ │                  <html:pre>$ apt-get remove snmp</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>If there is no need to run SNMP server software,
│ │ │ │  removing the package provides a safeguard against its
│ │ │ │  activation.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_snmp
│ │ │ │ -
│ │ │ │ -class remove_snmp {
│ │ │ │ -  package { 'snmp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure snmp is removed
│ │ │ │    package:
│ │ │ │      name: snmp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │ @@ -24196,14 +24189,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove snmp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on snmp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "snmp"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_snmp
│ │ │ │ +
│ │ │ │ +class remove_snmp {
│ │ │ │ +  package { 'snmp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_net-snmp_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -24215,24 +24215,14 @@
│ │ │ │                  service can be disabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl mask --now snmpd.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1311</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Running SNMP software provides a network-based avenue of attack, and
│ │ │ │  should be disabled if not needed.</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_snmpd_and_system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ -masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ -
│ │ │ │ -class disable_snmpd {
│ │ │ │ -  service {'snmpd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -24303,14 +24293,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_snmpd_disabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ +masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ +
│ │ │ │ +class disable_snmpd {
│ │ │ │ +  service {'snmpd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_snmpd_disabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -24576,24 +24576,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000423-GPOS-00187</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000424-GPOS-00188</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000425-GPOS-00189</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000426-GPOS-00190</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ -name = "openssh-server"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ -
│ │ │ │ -class install_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -24620,14 +24610,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ +name = "openssh-server"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ +
│ │ │ │ +class install_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_openssh-server_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -24641,21 +24641,14 @@
│ │ │ │                <html:code>openssh-server</html:code>
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove openssh-server</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ -
│ │ │ │ -class remove_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -24686,14 +24679,21 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ +
│ │ │ │ +class remove_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_openssh-server_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -24704,24 +24704,14 @@
│ │ │ │  This is unusual, as SSH is a common method for encrypted and authenticated
│ │ │ │  remote access.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-3(6)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">IA-2(4)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000185-CTR-000490</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000141-CTR-000315</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ -masked = ["ssh"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ -
│ │ │ │ -class disable_sshd {
│ │ │ │ -  service {'ssh':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-3(6)
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │ @@ -24798,14 +24788,24 @@
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_sshd_disabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ +masked = ["ssh"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ +
│ │ │ │ +class disable_sshd {
│ │ │ │ +  service {'ssh':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_sshd_disabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -25173,22 +25173,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If an unauthorized user obtains the private SSH host key file, the host could be
│ │ │ │  impersonated.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_private_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -25266,14 +25258,22 @@
│ │ │ │          echo "Key-like file '$keyfile' is owned by an unexpected user:group combination"
│ │ │ │      fi
│ │ │ │  done
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-file_permissions_sshd_private_key:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -25345,22 +25345,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If a public host key file is modified by an unauthorized user, the SSH service
│ │ │ │  may be compromised.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -25428,14 +25420,22 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-file_permissions_sshd_pub_key:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -31309,24 +31309,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000392-GPOS-00172</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000475-GPOS-00220</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R33</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R73</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The auditd service is an access monitoring and accounting daemon, watching system calls to audit any access, in comparison with potential local access control policy such as SELinux policy.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-7(a)
│ │ │ │    - NIST-800-53-AU-12(2)
│ │ │ │    - NIST-800-53-AU-14
│ │ │ │ @@ -31371,14 +31361,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_audit_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_audit_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -31588,24 +31588,14 @@
│ │ │ │              <html:br/>
│ │ │ │              Additionally, a properly configured audit subsystem ensures that actions of
│ │ │ │  individual system users can be uniquely traced to those users so they
│ │ │ │  can be held accountable for their actions.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_audit"/>
│ │ │ │            <xccdf-1.2:requires idref="xccdf_org.ssgproject.content_rule_package_audit_installed"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ -enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.4.1.1
│ │ │ │    - NIST-800-171-3.3.1
│ │ │ │    - NIST-800-171-3.3.2
│ │ │ │ @@ -31666,14 +31656,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ +enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_auditd_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -93189,5281 +93189,5476 @@
│ │ │ │        <ocil:generator>
│ │ │ │          <ocil:product_name>build_shorthand.py from SCAP Security Guide</ocil:product_name>
│ │ │ │          <ocil:product_version>ssg: 0.1.76</ocil:product_version>
│ │ │ │          <ocil:schema_version>2.0</ocil:schema_version>
│ │ │ │          <ocil:timestamp>2025-03-01T08:08:00</ocil:timestamp>
│ │ │ │        </ocil:generator>
│ │ │ │        <ocil:questionnaires>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable PAM</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_maximum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Maximum Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the ntp service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install AIDE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the cron service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable different security models</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Yama support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable hibernation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable different security models</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable hibernation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable cron Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable cron Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable PAM</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_maximum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Maximum Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install AIDE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Yama support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the ntp service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the cron service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │        </ocil:questionnaires>
│ │ │ │        <ocil:test_actions>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │        </ocil:test_actions>
│ │ │ │        <ocil:questions>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/
│ │ │ │ +
│ │ │ │ +To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │ +    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ +    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 limits the number of concurrent sessions to
│ │ │ │ -"" for all
│ │ │ │ -accounts and/or account types with the following command:
│ │ │ │ -$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ -/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ -This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ -      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ -than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ -is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ -operational requirement for all domains that have the "maxlogins" item
│ │ │ │ -assigned'?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ mountpoint /srv
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check which action Debian 11 takes when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ -
│ │ │ │ -$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ -
│ │ │ │ -dir = /var/log/faillock
│ │ │ │ -      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/sbin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -To find system executables directories that are group-writable or
│ │ │ │ -world-writable, run the following command for each directory DIR
│ │ │ │ -which contains system executables:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 enforces a -day maximum password lifetime for new user accounts by running the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ grep -i pass_max_days /etc/login.defs
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +PASS_MAX_DAYS 
│ │ │ │ +      Is it the case that the "PASS_MAX_DAYS" parameter value is greater than "&lt;sub idref="var_accounts_maximum_age_login_defs" /&gt;", or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +          <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ +$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ +fixtext: |-
│ │ │ │ +Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ chmod a+t [World-Writable Directory]
│ │ │ │ +srg_requirement:
│ │ │ │ +A sticky bit must be set on all Debian 11 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/ 
│ │ │ │ -
│ │ │ │ -To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mce=0, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ +If the system is 64-bit only, this is not applicable
│ │ │ │ +ocil: |
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +stime system call, run the following command:
│ │ │ │ +$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.panic_on_oops
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ +.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +rsyslog service:
│ │ │ │ +$ sudo systemctl is-active rsyslog
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +adjtimex system call, run the following command:
│ │ │ │ +$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -write_logs = yes
│ │ │ │ -      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd
│ │ │ │ +$ ls -l /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │  -rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slab_nomerge=yes, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │            <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -
│ │ │ │  $ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │  If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 0
│ │ │ │ -
│ │ │ │ -In this case, the SSH timeout occurs precisely when
│ │ │ │ -the ClientAliveInterval is set.
│ │ │ │ +ClientAliveCountMax 
│ │ │ │ +For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ +the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ +functionality completely.
│ │ │ │ +If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ +ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /home
│ │ │ │ -
│ │ │ │ -      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how much data the system will retain in each audit log file:
│ │ │ │ -$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ -max_log_file = 6
│ │ │ │ -      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ -$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveInterval 
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ +$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ +If properly configured, output should be:
│ │ │ │ +MaxAuthTries 
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ -0.
│ │ │ │ +$ sysctl kernel.kptr_restrict
│ │ │ │ +The output of the command should indicate either:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +The output of the command should not indicate:
│ │ │ │ +kernel.kptr_restrict = 0
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +The preferable way how to assure the runtime compliance is to have
│ │ │ │ +correct persistent configuration, and rebooting the system.
│ │ │ │ +
│ │ │ │ +The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ +assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ +Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ +$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ +The command should not find any assignments other than:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +
│ │ │ │ +Conflicting assignments are not allowed.
│ │ │ │ +      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how many logs the system is configured to retain after rotation:
│ │ │ │ -$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ -num_logs = 5
│ │ │ │ -      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ +grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ +The output should return the following:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +[xdmcp]
│ │ │ │ +Enable=false
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +mount system call, run the following command:
│ │ │ │ +$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ -$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ -$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ -      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ -$ sudo grep logrotate /var/log/cron*
│ │ │ │ -If logrotate is configured properly, output should include references to
│ │ │ │ -/etc/cron.daily.
│ │ │ │ -      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 disables core dump backtraces by issuing the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │ +$ grep -i process /etc/systemd/coredump.conf
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +ProcessSizeMax=0
│ │ │ │ +      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ +/etc/passwd, run the following command:
│ │ │ │ +awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ +If it produces any output, then a password hash is
│ │ │ │ +stored in /etc/passwd.
│ │ │ │ +      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep reboot
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include l1tf=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +and
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +Both commands should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ +A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ +      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ +$ sysctl fs.suid_dumpable
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -umount2 system call, run the following command:
│ │ │ │ -$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │            <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │  $ sudo find / -xdev -type f -perm -002
│ │ │ │        Is it the case that there is output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ -following command:
│ │ │ │ -$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ -root
│ │ │ │ -      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that Debian 11 verifies correct operation of security functions.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ sudo getenforce
│ │ │ │ +Check which action Debian 11 takes when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 limits the number of concurrent sessions to
│ │ │ │ +"" for all
│ │ │ │ +accounts and/or account types with the following command:
│ │ │ │ +$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ +/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ +This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ +      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ +than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ +is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ +operational requirement for all domains that have the "maxlogins" item
│ │ │ │ +assigned'?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_symlinks
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │            <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ +Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the device or Debian 11 does not have a camera installed, this requirement is not applicable.
│ │ │ │ +
│ │ │ │ +This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │  
│ │ │ │ +This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │  
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ip6tables service:
│ │ │ │ -$ sudo systemctl is-active ip6tables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ +
│ │ │ │ +For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ +
│ │ │ │ +If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +
│ │ │ │ +Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +
│ │ │ │ +$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +
│ │ │ │ +install uvcvideo /bin/true
│ │ │ │ +      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ -alter time via the /etc/localtime file, run the following
│ │ │ │ -command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchown system call, run the following command:
│ │ │ │ -$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +setxattr system call, run the following command:
│ │ │ │ +$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 
│ │ │ │ -For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ -the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ -functionality completely.
│ │ │ │ -If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ -ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +auditd service:
│ │ │ │ +$ sudo systemctl is-active auditd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep init
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +ntp service:
│ │ │ │ +$ sudo systemctl is-active ntp
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ +$ dpkg -l  cron
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmap /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchmodat system call, run the following command:
│ │ │ │ +$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chronyd service:
│ │ │ │ +$ sudo systemctl is-active chronyd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +If a line indicating INFO is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +          <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +$ dpkg -s openssh-server | grep Version
│ │ │ │  
│ │ │ │ --w /var/log/lastlog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be Protocol 2
│ │ │ │ +      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ +/lib
│ │ │ │ +/lib64
│ │ │ │ +/usr/lib
│ │ │ │ +/usr/lib64
│ │ │ │  
│ │ │ │ -action_mail_acct = 
│ │ │ │ -      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +To find shared libraries that are group-writable or world-writable,
│ │ │ │ +run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how much data the system will retain in each audit log file:
│ │ │ │ +$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ +max_log_file = 6
│ │ │ │ +      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating INFO is returned, then the required value is set.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that Debian 11 does not disable SELinux.
│ │ │ │ +
│ │ │ │ +Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo getenforce
│ │ │ │ +Enforcing
│ │ │ │ +-OR-
│ │ │ │ +Permissive
│ │ │ │ +      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ -following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_symlinks
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │  
│ │ │ │ -If configured properly, output should be
│ │ │ │ -RekeyLimit  
│ │ │ │ -      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +adm.
│ │ │ │ +
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nodev . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group-
│ │ │ │ +$ ls -l /etc/ssh/*_key
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │            <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │  adm.
│ │ │ │  These log files are determined by the second part of each Rule line in
│ │ │ │  /etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │  To see the group-owner of a given log file, run the following command:
│ │ │ │  $ ls -l LOGFILE
│ │ │ │        Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ -          <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ -.rhosts inside a user home directory indicates the presence
│ │ │ │ -of an Rsh trust relationship.
│ │ │ │ -      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +fchown system call, run the following command:
│ │ │ │ +$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo find /home -xdev -name .netrc
│ │ │ │ +      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ -FAIL_DELAY 
│ │ │ │ -      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ +architecture, and socket address information before writing the event to disk,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +log_format = ENRICHED
│ │ │ │ +      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ +$ grep relayhost /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be no or delayed.
│ │ │ │ +      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ +The following command should return no output
│ │ │ │ +$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ +for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ +then echo "Expiry date in future";
│ │ │ │ +fi; done 
│ │ │ │ +      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │  
│ │ │ │ -Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +Find the location of the audit logs:
│ │ │ │  
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -disk_error_action = HALT
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │ +Find the group that owns audit logs:
│ │ │ │  
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -disk_full_action = 
│ │ │ │ +Run the following command to check the mode of the system audit logs:
│ │ │ │  
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +
│ │ │ │ +Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ +      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ +
│ │ │ │ +# grep -i umask /etc/login.defs
│ │ │ │ +
│ │ │ │ +UMASK 
│ │ │ │ +      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │            <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │  If the system is configured to disable the
│ │ │ │  ipv6 kernel module, it will contain a line
│ │ │ │  of the form:
│ │ │ │ @@ -98473,989 +98668,1117 @@
│ │ │ │  kernel module (which other parts of the system expect to be present), but
│ │ │ │  otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │  lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │  /etc/modprobe.conf:
│ │ │ │  $ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │        Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords.
│ │ │ │ +      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ -          <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ -$ sudo ls -l DBDIR/database_file_name
│ │ │ │ -      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be .
│ │ │ │ +      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -syslog-ng service:
│ │ │ │ -$ sudo systemctl is-active syslog-ng
│ │ │ │ +iptables service:
│ │ │ │ +$ sudo systemctl is-active iptables
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nodev . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ +The command should return output only for the vdsm user.
│ │ │ │ +      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -adjtimex system call, run the following command:
│ │ │ │ -$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/
│ │ │ │ +$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ -$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ -If properly configured, output should be:
│ │ │ │ -MaxAuthTries 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -iptables service:
│ │ │ │ -$ sudo systemctl is-active iptables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -rsyslog service:
│ │ │ │ -$ sudo systemctl is-active rsyslog
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ +/etc/rsyslog.conf.
│ │ │ │ +If using UDP, a line similar to the following should be present:
│ │ │ │ + *.* @
│ │ │ │ +If using TCP, a line similar to the following should be present:
│ │ │ │ + *.* @@
│ │ │ │ +If using RELP, a line similar to the following should be present:
│ │ │ │ + *.* :omrelp:
│ │ │ │ +      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ +every  records, run the following command:
│ │ │ │ +$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +freq = 
│ │ │ │ +      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ -A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ -      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +/usr/sbin
│ │ │ │ +For each of these directories, run the following command to find files
│ │ │ │ +not owned by root:
│ │ │ │ +$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ +      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ +$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ +No output should be returned.
│ │ │ │ +      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep poweroff
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ --a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 disables storing core dumps for all users by issuing the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ -
│ │ │ │ -Storage=none
│ │ │ │ -      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -auditd service:
│ │ │ │ -$ sudo systemctl is-active auditd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchownat system call, run the following command:
│ │ │ │ -$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ -      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include rng_core.default_quality=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ +$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ +and verify that the line matches
│ │ │ │ +Match final all
│ │ │ │ +RekeyLimit 512M 1h
│ │ │ │ +GSSAPIAuthentication no
│ │ │ │ +Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ +PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ +MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ +KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ +      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │  
│ │ │ │ -If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ -each file specified (and perm=wa should be indicated for each).
│ │ │ │ -      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep shutdown
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ -grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -The output should be similar to the following:
│ │ │ │ -$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -:FORWARD DROP [0:0
│ │ │ │ -      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │  
│ │ │ │ -adm.
│ │ │ │ +$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │  
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ +session [default=1] pam_lastlog.so showfailed
│ │ │ │ +      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -local_events = yes
│ │ │ │ -      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │            <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │  or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │  $ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │  The output should be:
│ │ │ │  
│ │ │ │  /etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │        Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /var
│ │ │ │ +$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ +$ grep all_squash /etc/exports
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │            <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │  in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include l1tf=, then the parameter
│ │ │ │ +If they include rng_core.default_quality=, then the parameter
│ │ │ │  is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │  Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +          <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ +$ sudo ls -l DBDIR/database_file_name
│ │ │ │ +      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_hardlinks
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ -$ grep relayhost /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +
│ │ │ │ +-w /var/log/lastlog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lchown system call, run the following command:
│ │ │ │ +$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │  
│ │ │ │ -$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ +The command should return:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +0
│ │ │ │  
│ │ │ │ -$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ -pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ -If properly configured, the output should be a list of usernames and/or
│ │ │ │ -groups allowed to log in to this system.
│ │ │ │ -      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ -
│ │ │ │ -Find the location of the audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.panic_on_oops
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -Find the group that owns audit logs:
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │  
│ │ │ │ +$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Run the following command to check the mode of the system audit logs:
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │  
│ │ │ │ +$ mountpoint /var/log/audit
│ │ │ │  
│ │ │ │ -If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ -      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep reboot
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +          <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ +.rhosts inside a user home directory indicates the presence
│ │ │ │ +of an Rsh trust relationship.
│ │ │ │ +      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.randomize_va_space
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ --a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spectre_v2=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │            <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │  escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │  $ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │        Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +fchmod system call, run the following command:
│ │ │ │ +$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mce=0, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ -          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the root user:
│ │ │ │ -$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ -The output should return an alias.
│ │ │ │ -      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the device or Debian 11 does not have a camera installed, this requirement is not applicable.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ +Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │  
│ │ │ │ -For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +disk_error_action = HALT
│ │ │ │  
│ │ │ │ -Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ +$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ +If the plugin is active, the output will show yes.
│ │ │ │ +      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -install uvcvideo /bin/true
│ │ │ │ -      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +admin_space_left_action = single
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be no or delayed.
│ │ │ │ -      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +
│ │ │ │ +If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ +each file specified (and perm=wa should be indicated for each).
│ │ │ │ +      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ -          <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ -openssh-server with following command:
│ │ │ │ -$ rpm -qi openssh-server | grep Version
│ │ │ │ -Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slab_nomerge=yes, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ +$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveInterval 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ +$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ +The DoD requirement is 15.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │  run the following command:
│ │ │ │ -$ sudo systemctl is-enabled snmpd
│ │ │ │ -Output should indicate the snmpd service has either not been installed,
│ │ │ │ +$ sudo systemctl is-enabled sshd
│ │ │ │ +Output should indicate the sshd service has either not been installed,
│ │ │ │  or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled snmpd disabled
│ │ │ │ +$ sudo systemctl is-enabled sshd disabled
│ │ │ │  
│ │ │ │ -Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active snmpd
│ │ │ │ +Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active sshd
│ │ │ │  
│ │ │ │  If the service is not running the command will return the following output:
│ │ │ │  inactive
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │ +The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │  
│ │ │ │  If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │  LoadState=masked
│ │ │ │  
│ │ │ │  UnitFileState=masked
│ │ │ │ -      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -settimeofday system call, run the following command:
│ │ │ │ -$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │  $ dpkg -l  snmp
│ │ │ │        Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ -grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ -The output should return the following:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ -[xdmcp]
│ │ │ │ -Enable=false
│ │ │ │ +$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ -If the system is 64-bit only, this is not applicable
│ │ │ │ -ocil: |
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -stime system call, run the following command:
│ │ │ │ -$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -# grep -i umask /etc/login.defs
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -UMASK 
│ │ │ │ -      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ -          <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │ -
│ │ │ │ -$ dpkg -s openssh-server | grep Version
│ │ │ │ -
│ │ │ │ -Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be Protocol 2
│ │ │ │ -      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ +$ rpm -q MFEhiplsm
│ │ │ │ +      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -admin_space_left_action = single
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/ 
│ │ │ │  
│ │ │ │ -If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -/usr/sbin
│ │ │ │ -For each of these directories, run the following command to find files
│ │ │ │ -not owned by root:
│ │ │ │ -$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ -      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ -If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ -each file specified (and with perm=wa for each).
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ +To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +removexattr system call, run the following command:
│ │ │ │ +$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │ +$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ +$ sudo grep logrotate /var/log/cron*
│ │ │ │ +If logrotate is configured properly, output should include references to
│ │ │ │ +/etc/cron.daily.
│ │ │ │ +      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ -$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ -and verify that the line matches
│ │ │ │ -Match final all
│ │ │ │ -RekeyLimit 512M 1h
│ │ │ │ -GSSAPIAuthentication no
│ │ │ │ -Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ -PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ -MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ -KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ -      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ -
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ -          <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ -$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ -fixtext: |-
│ │ │ │ -Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ chmod a+t [World-Writable Directory]
│ │ │ │ -srg_requirement:
│ │ │ │ -A sticky bit must be set on all Debian 11 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │  
│ │ │ │ -The output should be:
│ │ │ │ +$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ +-e 2
│ │ │ │  
│ │ │ │ -/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ -      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │ +      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmep /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +space_left_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +drwxr-xr-x
│ │ │ │ +      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ +    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ -/etc/rsyslog.conf.
│ │ │ │ -If using UDP, a line similar to the following should be present:
│ │ │ │ - *.* @
│ │ │ │ -If using TCP, a line similar to the following should be present:
│ │ │ │ - *.* @@
│ │ │ │ -If using RELP, a line similar to the following should be present:
│ │ │ │ - *.* :omrelp:
│ │ │ │ -      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how many logs the system is configured to retain after rotation:
│ │ │ │ +$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ +num_logs = 5
│ │ │ │ +      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep poweroff
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ + for each element in root's path, run the following command:
│ │ │ │ +# ls -ld DIR
│ │ │ │ +      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If configured properly, output should be
│ │ │ │ +RekeyLimit  
│ │ │ │ +      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /home
│ │ │ │ +
│ │ │ │ +      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ +    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │            <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │  following command:
│ │ │ │  $ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │  If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │        Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that Debian 11 does not disable SELinux.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo getenforce
│ │ │ │ -Enforcing
│ │ │ │ --OR-
│ │ │ │ -Permissive
│ │ │ │ -      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ -$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ -The DoD requirement is 7.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │  unlinkat system call, run the following command:
│ │ │ │  $ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │ -
│ │ │ │ -    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmep /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +local_events = yes
│ │ │ │ +      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +ufw service:
│ │ │ │ +$ sudo systemctl is-active ufw
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +          <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ +openssh-server with following command:
│ │ │ │ +$ rpm -qi openssh-server | grep Version
│ │ │ │ +Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -The command should return:
│ │ │ │ +$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -0
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ -      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ +# ls -ld /home/USER
│ │ │ │ +      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r open /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +$ sudo grep open /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +
│ │ │ │ +The output should be:
│ │ │ │ +
│ │ │ │ +/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ +      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +settimeofday system call, run the following command:
│ │ │ │ +$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +syslog
│ │ │ │ +      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │            <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │  in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +If they include spectre_v2=on, then the parameter
│ │ │ │  is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │  Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ +      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ -$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ -If the plugin is active, the output will show yes.
│ │ │ │ -      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep init
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ntp service:
│ │ │ │ -$ sudo systemctl is-active ntp
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ -The command should return output only for the vdsm user.
│ │ │ │ -      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +          <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ +be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ +second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ +all appear in /var/log. To see the permissions of a given log
│ │ │ │ +file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +The permissions should be 640, or more restrictive.
│ │ │ │ +      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -drwxr-xr-x
│ │ │ │ -      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ +to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ +rules:
│ │ │ │ +
│ │ │ │ +FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ +for PARTITION in $PARTITIONS; do
│ │ │ │ +  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ +    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ +      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ +  done
│ │ │ │ +done
│ │ │ │ +
│ │ │ │ +The output should not contain any WARNING.
│ │ │ │ +      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ +Run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ +      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ +pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ +If properly configured, the output should be a list of usernames and/or
│ │ │ │ +groups allowed to log in to this system.
│ │ │ │ +      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ -For each kernel installed, a line with value should be returned.
│ │ │ │ -If the system architecture is x86_64, the value should be 65536.
│ │ │ │ -If the system architecture is aarch64, the value should be 32768.
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ +alter time via the /etc/localtime file, run the following
│ │ │ │ +command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +cron service:
│ │ │ │ +$ sudo systemctl is-active cron
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ +sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ +
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ +$ uname -m
│ │ │ │ +The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ +If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ +Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ +$ lscpu | grep "CPU op-mode"
│ │ │ │ +If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ +      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │            <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │  $ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ @@ -99468,1288 +99791,965 @@
│ │ │ │  
│ │ │ │  -a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │  chown system call, run the following command:
│ │ │ │  $ sudo grep "chown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.suid_dumpable
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include iommu=force, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ +$ ls -lL /var/log
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ -or scripts within /etc/profile.d directory with the following command:
│ │ │ │ -$ grep "umask" /etc/profile*
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ -or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +systemd-journald service:
│ │ │ │ +$ sudo systemctl is-active systemd-journald
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -setxattr system call, run the following command:
│ │ │ │ -$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ -          <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root login over serial ports is permitted.
│ │ │ │ -      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ - for each element in root's path, run the following command:
│ │ │ │ -# ls -ld DIR
│ │ │ │ -      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo pwck -qr
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 0
│ │ │ │ +
│ │ │ │ +In this case, the SSH timeout occurs precisely when
│ │ │ │ +the ClientAliveInterval is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ -$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -The output should contain overflow_action = syslog
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ -single, halt or the line is commented out, ask the System Administrator
│ │ │ │ -to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ -      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ -$ uname -m
│ │ │ │ -The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ -If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ -Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ -$ lscpu | grep "CPU op-mode"
│ │ │ │ -If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ -      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -systemd-journald service:
│ │ │ │ -$ sudo systemctl is-active systemd-journald
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ +such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ +automated account mechanisms in place.
│ │ │ │ +      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmodat system call, run the following command:
│ │ │ │ -$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +lsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ -to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ -rules:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │  
│ │ │ │ -FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ -for PARTITION in $PARTITIONS; do
│ │ │ │ -  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ -    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ -      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ -  done
│ │ │ │ -done
│ │ │ │ +$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -The output should not contain any WARNING.
│ │ │ │ -      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +dir = /var/log/faillock
│ │ │ │ +      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -space_left_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be .
│ │ │ │ -      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /tmp
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmap /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chronyd service:
│ │ │ │ -$ sudo systemctl is-active chronyd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_hardlinks
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit 
│ │ │ │ +
│ │ │ │ +To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit/* 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include iommu=force, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ -$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ +$ sudo auditctl -l | grep 
│ │ │ │  
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords. Remove any instances of the nullok option to
│ │ │ │ -prevent logins with empty passwords.
│ │ │ │ -      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ +-w  -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the system backups user data.
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ -$ grep all_squash /etc/exports
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ -run the following command:
│ │ │ │ -cat /etc/securetty
│ │ │ │ -If any output is returned, this is a finding.
│ │ │ │ -      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ +For each kernel installed, a line with value should be returned.
│ │ │ │ +If the system architecture is x86_64, the value should be 65536.
│ │ │ │ +If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the system backups user data.
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │  
│ │ │ │ -disk_full_action = 
│ │ │ │ +$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │  
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +-w /var/log/tallylog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lchown system call, run the following command:
│ │ │ │ -$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +clock_settime system call, run the following command:
│ │ │ │ +$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ +
│ │ │ │ +Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_error_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/gshadow
│ │ │ │ +$ ls -l /etc/shadow
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │  -rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 disables storing core dumps for all users by issuing the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +
│ │ │ │ +Storage=none
│ │ │ │ +      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmod system call, run the following command:
│ │ │ │ -$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should be
│ │ │ │ +$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ +      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /var/log
│ │ │ │ -
│ │ │ │ -      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ +or scripts within /etc/profile.d directory with the following command:
│ │ │ │ +$ grep "umask" /etc/profile*
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ +or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │  run the following command:
│ │ │ │ -$ sudo systemctl is-enabled sshd
│ │ │ │ -Output should indicate the sshd service has either not been installed,
│ │ │ │ +$ sudo systemctl is-enabled snmpd
│ │ │ │ +Output should indicate the snmpd service has either not been installed,
│ │ │ │  or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled sshd disabled
│ │ │ │ +$ sudo systemctl is-enabled snmpd disabled
│ │ │ │  
│ │ │ │ -Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active sshd
│ │ │ │ +Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active snmpd
│ │ │ │  
│ │ │ │  If the service is not running the command will return the following output:
│ │ │ │  inactive
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │  
│ │ │ │  If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │  LoadState=masked
│ │ │ │  
│ │ │ │  UnitFileState=masked
│ │ │ │ -      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ +$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log/audit
│ │ │ │ +The output should contain overflow_action = syslog
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ +single, halt or the line is commented out, ask the System Administrator
│ │ │ │ +to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ +      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ +      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the root user:
│ │ │ │ +$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ +The output should return an alias.
│ │ │ │ +      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │            <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │  $ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │  If properly configured, the output should be:
│ │ │ │  LoginGraceTime 
│ │ │ │  If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │  after the configured number seconds.
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ -          <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ -be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ -second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ -all appear in /var/log. To see the permissions of a given log
│ │ │ │ -file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -The permissions should be 640, or more restrictive.
│ │ │ │ -      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ -$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ -The DoD requirement is 15.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ +    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords.
│ │ │ │ -      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ -Run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ -      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ +$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ +The DoD requirement is 7.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ +      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep shutdown
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ --a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -mount system call, run the following command:
│ │ │ │ -$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +$ sudo grep openat /etc/audit/audit.rules
│ │ │ │  
│ │ │ │ --w /var/log/tallylog -p wa -k logins
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │ +$ mountpoint /srv
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ +$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +chmod system call, run the following command:
│ │ │ │ +$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -"umount" system call, run the following command:
│ │ │ │ -$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ --a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ +      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ +grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ +If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ +      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ -/etc/passwd, run the following command:
│ │ │ │ -awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ -If it produces any output, then a password hash is
│ │ │ │ -stored in /etc/passwd.
│ │ │ │ -      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -cron service:
│ │ │ │ -$ sudo systemctl is-active cron
│ │ │ │ +
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ip6tables service:
│ │ │ │ +$ sudo systemctl is-active ip6tables
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ -$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ -No output should be returned.
│ │ │ │ -      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ -# ls -ld /home/USER
│ │ │ │ -      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 enforces a -day maximum password lifetime for new user accounts by running the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │  
│ │ │ │ -$ grep -i pass_max_days /etc/login.defs
│ │ │ │ +$ mountpoint /dev/shm
│ │ │ │  
│ │ │ │ -PASS_MAX_DAYS 
│ │ │ │ -      Is it the case that the "PASS_MAX_DAYS" parameter value is greater than "&lt;sub idref="var_accounts_maximum_age_login_defs" /&gt;", or commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ -/lib
│ │ │ │ -/lib64
│ │ │ │ -/usr/lib
│ │ │ │ -/usr/lib64
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that Debian 11 verifies correct operation of security functions.
│ │ │ │  
│ │ │ │ -To find shared libraries that are group-writable or world-writable,
│ │ │ │ -run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo getenforce
│ │ │ │ +
│ │ │ │ +      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ +$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ +$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ +      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/sbin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +To find system executables directories that are group-writable or
│ │ │ │ +world-writable, run the following command for each directory DIR
│ │ │ │ +which contains system executables:
│ │ │ │  $ sudo find -L DIR -perm /022 -type d
│ │ │ │        Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/group
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -syslog
│ │ │ │ -      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ mountpoint /tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │            <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │  $ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.kptr_restrict
│ │ │ │ -The output of the command should indicate either:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ -The output of the command should not indicate:
│ │ │ │ -kernel.kptr_restrict = 0
│ │ │ │ -
│ │ │ │ -The preferable way how to assure the runtime compliance is to have
│ │ │ │ -correct persistent configuration, and rebooting the system.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │  
│ │ │ │ -The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ -assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ -Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ -$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ -The command should not find any assignments other than:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ +$ mountpoint /var
│ │ │ │  
│ │ │ │ -Conflicting assignments are not allowed.
│ │ │ │ -      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │            <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │  $ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │  If configured, this command should output the configuration.
│ │ │ │        Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +
│ │ │ │ +$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ +
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords. Remove any instances of the nullok option to
│ │ │ │ +prevent logins with empty passwords.
│ │ │ │ +      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ +$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ +The output should return root.
│ │ │ │ +      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +          <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root login over serial ports is permitted.
│ │ │ │ +      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ -
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │ +fchownat system call, run the following command:
│ │ │ │ +$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +"umount" system call, run the following command:
│ │ │ │ +$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ +-a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /dev/shm
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ +run the following command:
│ │ │ │ +cat /etc/securetty
│ │ │ │ +If any output is returned, this is a finding.
│ │ │ │ +      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ufw service:
│ │ │ │ -$ sudo systemctl is-active ufw
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ -      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit 
│ │ │ │ -
│ │ │ │ -To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit/* 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ -      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ --e 2
│ │ │ │ -
│ │ │ │ -      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ -$ rpm -q MFEhiplsm
│ │ │ │ -      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ -grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ -If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ -      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ -          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ -$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ -The output should return root.
│ │ │ │ -      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -clock_settime system call, run the following command:
│ │ │ │ -$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ -.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ -$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -MaxSessions 
│ │ │ │ -      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ -such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ -automated account mechanisms in place.
│ │ │ │ -      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ +grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +The output should be similar to the following:
│ │ │ │ +$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +:FORWARD DROP [0:0
│ │ │ │ +      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ +      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -adm
│ │ │ │ -      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -and
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -Both commands should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ +If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ +each file specified (and with perm=wa for each).
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ -every  records, run the following command:
│ │ │ │ -$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │  The output should return the following:
│ │ │ │ -freq = 
│ │ │ │ -      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +write_logs = yes
│ │ │ │ +      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/
│ │ │ │ +
│ │ │ │ +To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │            <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │  .
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_error_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ -
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ -
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ +following command:
│ │ │ │ +$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +umount2 system call, run the following command:
│ │ │ │ +$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ -sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │  The command should return no output.
│ │ │ │ -      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep 
│ │ │ │ -
│ │ │ │ --w  -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │            <ocil:question_text>Verify Debian 11 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │  
│ │ │ │  Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │  
│ │ │ │  $ grep -i pass_min_days /etc/login.defs
│ │ │ │  
│ │ │ │  PASS_MIN_DAYS 
│ │ │ │        Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo find /home -xdev -name .netrc
│ │ │ │ -      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chmod system call, run the following command:
│ │ │ │ -$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +adm
│ │ │ │ +      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ -$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -session [default=1] pam_lastlog.so showfailed
│ │ │ │ -      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ -$ dpkg -l  cron
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ +$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +MaxSessions 
│ │ │ │ +      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │ -
│ │ │ │ -The output should be the following:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ -          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -removexattr system call, run the following command:
│ │ │ │ -$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ -The following command should return no output
│ │ │ │ -$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ -for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ -then echo "Expiry date in future";
│ │ │ │ -fi; done 
│ │ │ │ -      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo pwck -qr
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should be
│ │ │ │ -$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ -      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │ +$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ +FAIL_DELAY 
│ │ │ │ +      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ mountpoint /var/log
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │  polyinstantiated directory:
│ │ │ │  $ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │  The output should return the following:
│ │ │ │  /tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │        Is it the case that is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ -architecture, and socket address information before writing the event to disk,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -log_format = ENRICHED
│ │ │ │ -      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +action_mail_acct = 
│ │ │ │ +      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 disables core dump backtraces by issuing the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ -
│ │ │ │ -ProcessSizeMax=0
│ │ │ │ -      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +syslog-ng service:
│ │ │ │ +$ sudo systemctl is-active syslog-ng
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.randomize_va_space
│ │ │ │ -2.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │        </ocil:questions>
│ │ │ │      </ocil:ocil>
│ │ │ │    </ds:component>
│ │ │ │    <ds:component id="scap_org.open-scap_comp_ssg-debian11-cpe-oval.xml" timestamp="2025-03-01T08:08:00">
│ │ │ │      <oval-def:oval_definitions xsi:schemaLocation="http://oval.mitre.org/XMLSchema/oval-common-5 oval-common-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5 oval-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#independent independent-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#unix unix-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#linux linux-definitions-schema.xsd">
│ │ │ │        <oval-def:generator>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-ocil.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-ocil.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -3,5281 +3,5476 @@
│ │ │ │    <ocil:generator>
│ │ │ │      <ocil:product_name>build_shorthand.py from SCAP Security Guide</ocil:product_name>
│ │ │ │      <ocil:product_version>ssg: 0.1.76</ocil:product_version>
│ │ │ │      <ocil:schema_version>2.0</ocil:schema_version>
│ │ │ │      <ocil:timestamp>2025-03-01T08:08:00</ocil:timestamp>
│ │ │ │    </ocil:generator>
│ │ │ │    <ocil:questionnaires>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │ -      <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -      </ocil:actions>
│ │ │ │ -    </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │ -      <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -      </ocil:actions>
│ │ │ │ -    </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │ -      <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -      </ocil:actions>
│ │ │ │ -    </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │ -      <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -      </ocil:actions>
│ │ │ │ -    </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable PAM</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_maximum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Maximum Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │ -      <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -      </ocil:actions>
│ │ │ │ -    </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the ntp service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install AIDE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the cron service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable different security models</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Yama support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable hibernation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable different security models</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable hibernation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable cron Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable cron Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable PAM</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_maximum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Maximum Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +      </ocil:actions>
│ │ │ │ +    </ocil:questionnaire>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +      <ocil:actions>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +      </ocil:actions>
│ │ │ │ +    </ocil:questionnaire>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +      <ocil:actions>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install AIDE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Yama support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the ntp service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the cron service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +      </ocil:actions>
│ │ │ │ +    </ocil:questionnaire>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +      <ocil:actions>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +      </ocil:actions>
│ │ │ │ +    </ocil:questionnaire>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +      <ocil:actions>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +      </ocil:actions>
│ │ │ │ +    </ocil:questionnaire>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +      <ocil:actions>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │    </ocil:questionnaires>
│ │ │ │    <ocil:test_actions>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │    </ocil:test_actions>
│ │ │ │    <ocil:questions>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/
│ │ │ │ +
│ │ │ │ +To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │ +    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ +    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 limits the number of concurrent sessions to
│ │ │ │ -"" for all
│ │ │ │ -accounts and/or account types with the following command:
│ │ │ │ -$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ -/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ -This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ -      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ -than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ -is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ -operational requirement for all domains that have the "maxlogins" item
│ │ │ │ -assigned'?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ mountpoint /srv
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check which action Debian 11 takes when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ -
│ │ │ │ -$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ -
│ │ │ │ -dir = /var/log/faillock
│ │ │ │ -      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/sbin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -To find system executables directories that are group-writable or
│ │ │ │ -world-writable, run the following command for each directory DIR
│ │ │ │ -which contains system executables:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 enforces a -day maximum password lifetime for new user accounts by running the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ grep -i pass_max_days /etc/login.defs
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +PASS_MAX_DAYS 
│ │ │ │ +      Is it the case that the "PASS_MAX_DAYS" parameter value is greater than "&lt;sub idref="var_accounts_maximum_age_login_defs" /&gt;", or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +      <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ +$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ +fixtext: |-
│ │ │ │ +Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ chmod a+t [World-Writable Directory]
│ │ │ │ +srg_requirement:
│ │ │ │ +A sticky bit must be set on all Debian 11 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/ 
│ │ │ │ -
│ │ │ │ -To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mce=0, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ +If the system is 64-bit only, this is not applicable
│ │ │ │ +ocil: |
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +stime system call, run the following command:
│ │ │ │ +$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.panic_on_oops
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ +.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +rsyslog service:
│ │ │ │ +$ sudo systemctl is-active rsyslog
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +adjtimex system call, run the following command:
│ │ │ │ +$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -write_logs = yes
│ │ │ │ -      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd
│ │ │ │ +$ ls -l /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │  -rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slab_nomerge=yes, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │        <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -
│ │ │ │  $ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │  If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 0
│ │ │ │ -
│ │ │ │ -In this case, the SSH timeout occurs precisely when
│ │ │ │ -the ClientAliveInterval is set.
│ │ │ │ +ClientAliveCountMax 
│ │ │ │ +For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ +the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ +functionality completely.
│ │ │ │ +If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ +ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /home
│ │ │ │ -
│ │ │ │ -      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how much data the system will retain in each audit log file:
│ │ │ │ -$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ -max_log_file = 6
│ │ │ │ -      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ -$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveInterval 
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ +$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ +If properly configured, output should be:
│ │ │ │ +MaxAuthTries 
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ -0.
│ │ │ │ +$ sysctl kernel.kptr_restrict
│ │ │ │ +The output of the command should indicate either:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +The output of the command should not indicate:
│ │ │ │ +kernel.kptr_restrict = 0
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +The preferable way how to assure the runtime compliance is to have
│ │ │ │ +correct persistent configuration, and rebooting the system.
│ │ │ │ +
│ │ │ │ +The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ +assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ +Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ +$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ +The command should not find any assignments other than:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +
│ │ │ │ +Conflicting assignments are not allowed.
│ │ │ │ +      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how many logs the system is configured to retain after rotation:
│ │ │ │ -$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ -num_logs = 5
│ │ │ │ -      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ +grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ +The output should return the following:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +[xdmcp]
│ │ │ │ +Enable=false
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +mount system call, run the following command:
│ │ │ │ +$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ -$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ -$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ -      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ -$ sudo grep logrotate /var/log/cron*
│ │ │ │ -If logrotate is configured properly, output should include references to
│ │ │ │ -/etc/cron.daily.
│ │ │ │ -      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 disables core dump backtraces by issuing the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │ +$ grep -i process /etc/systemd/coredump.conf
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +ProcessSizeMax=0
│ │ │ │ +      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +      <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ +/etc/passwd, run the following command:
│ │ │ │ +awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ +If it produces any output, then a password hash is
│ │ │ │ +stored in /etc/passwd.
│ │ │ │ +      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep reboot
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include l1tf=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +and
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +Both commands should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ +A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ +      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ +$ sysctl fs.suid_dumpable
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -umount2 system call, run the following command:
│ │ │ │ -$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │        <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │  $ sudo find / -xdev -type f -perm -002
│ │ │ │        Is it the case that there is output?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ -following command:
│ │ │ │ -$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ -root
│ │ │ │ -      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that Debian 11 verifies correct operation of security functions.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ sudo getenforce
│ │ │ │ +Check which action Debian 11 takes when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 limits the number of concurrent sessions to
│ │ │ │ +"" for all
│ │ │ │ +accounts and/or account types with the following command:
│ │ │ │ +$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ +/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ +This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ +      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ +than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ +is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ +operational requirement for all domains that have the "maxlogins" item
│ │ │ │ +assigned'?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_symlinks
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │        <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ +Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the device or Debian 11 does not have a camera installed, this requirement is not applicable.
│ │ │ │ +
│ │ │ │ +This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │  
│ │ │ │ +This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │  
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ip6tables service:
│ │ │ │ -$ sudo systemctl is-active ip6tables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ +
│ │ │ │ +For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ +
│ │ │ │ +If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +
│ │ │ │ +Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +
│ │ │ │ +$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +
│ │ │ │ +install uvcvideo /bin/true
│ │ │ │ +      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ -alter time via the /etc/localtime file, run the following
│ │ │ │ -command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchown system call, run the following command:
│ │ │ │ -$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +setxattr system call, run the following command:
│ │ │ │ +$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 
│ │ │ │ -For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ -the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ -functionality completely.
│ │ │ │ -If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ -ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +auditd service:
│ │ │ │ +$ sudo systemctl is-active auditd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep init
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +ntp service:
│ │ │ │ +$ sudo systemctl is-active ntp
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ +$ dpkg -l  cron
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmap /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchmodat system call, run the following command:
│ │ │ │ +$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chronyd service:
│ │ │ │ +$ sudo systemctl is-active chronyd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +If a line indicating INFO is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +      <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +$ dpkg -s openssh-server | grep Version
│ │ │ │  
│ │ │ │ --w /var/log/lastlog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be Protocol 2
│ │ │ │ +      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ +/lib
│ │ │ │ +/lib64
│ │ │ │ +/usr/lib
│ │ │ │ +/usr/lib64
│ │ │ │  
│ │ │ │ -action_mail_acct = 
│ │ │ │ -      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +To find shared libraries that are group-writable or world-writable,
│ │ │ │ +run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how much data the system will retain in each audit log file:
│ │ │ │ +$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ +max_log_file = 6
│ │ │ │ +      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating INFO is returned, then the required value is set.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that Debian 11 does not disable SELinux.
│ │ │ │ +
│ │ │ │ +Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo getenforce
│ │ │ │ +Enforcing
│ │ │ │ +-OR-
│ │ │ │ +Permissive
│ │ │ │ +      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ -following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_symlinks
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +      <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │  
│ │ │ │ -If configured properly, output should be
│ │ │ │ -RekeyLimit  
│ │ │ │ -      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +adm.
│ │ │ │ +
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nodev . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group-
│ │ │ │ +$ ls -l /etc/ssh/*_key
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │        <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │  adm.
│ │ │ │  These log files are determined by the second part of each Rule line in
│ │ │ │  /etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │  To see the group-owner of a given log file, run the following command:
│ │ │ │  $ ls -l LOGFILE
│ │ │ │        Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ -      <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ -.rhosts inside a user home directory indicates the presence
│ │ │ │ -of an Rsh trust relationship.
│ │ │ │ -      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +fchown system call, run the following command:
│ │ │ │ +$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo find /home -xdev -name .netrc
│ │ │ │ +      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ -FAIL_DELAY 
│ │ │ │ -      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ +architecture, and socket address information before writing the event to disk,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +log_format = ENRICHED
│ │ │ │ +      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ +$ grep relayhost /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be no or delayed.
│ │ │ │ +      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ +The following command should return no output
│ │ │ │ +$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ +for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ +then echo "Expiry date in future";
│ │ │ │ +fi; done 
│ │ │ │ +      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │  
│ │ │ │ -Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +Find the location of the audit logs:
│ │ │ │  
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -disk_error_action = HALT
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │ +Find the group that owns audit logs:
│ │ │ │  
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -disk_full_action = 
│ │ │ │ +Run the following command to check the mode of the system audit logs:
│ │ │ │  
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +
│ │ │ │ +Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ +      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ +
│ │ │ │ +# grep -i umask /etc/login.defs
│ │ │ │ +
│ │ │ │ +UMASK 
│ │ │ │ +      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │        <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │  If the system is configured to disable the
│ │ │ │  ipv6 kernel module, it will contain a line
│ │ │ │  of the form:
│ │ │ │ @@ -5287,989 +5482,1117 @@
│ │ │ │  kernel module (which other parts of the system expect to be present), but
│ │ │ │  otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │  lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │  /etc/modprobe.conf:
│ │ │ │  $ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │        Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords.
│ │ │ │ +      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ -      <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ -$ sudo ls -l DBDIR/database_file_name
│ │ │ │ -      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be .
│ │ │ │ +      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -syslog-ng service:
│ │ │ │ -$ sudo systemctl is-active syslog-ng
│ │ │ │ +iptables service:
│ │ │ │ +$ sudo systemctl is-active iptables
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nodev . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ +The command should return output only for the vdsm user.
│ │ │ │ +      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -adjtimex system call, run the following command:
│ │ │ │ -$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/
│ │ │ │ +$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ -$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ -If properly configured, output should be:
│ │ │ │ -MaxAuthTries 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -iptables service:
│ │ │ │ -$ sudo systemctl is-active iptables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -rsyslog service:
│ │ │ │ -$ sudo systemctl is-active rsyslog
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ +/etc/rsyslog.conf.
│ │ │ │ +If using UDP, a line similar to the following should be present:
│ │ │ │ + *.* @
│ │ │ │ +If using TCP, a line similar to the following should be present:
│ │ │ │ + *.* @@
│ │ │ │ +If using RELP, a line similar to the following should be present:
│ │ │ │ + *.* :omrelp:
│ │ │ │ +      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ +every  records, run the following command:
│ │ │ │ +$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +freq = 
│ │ │ │ +      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ -A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ -      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +/usr/sbin
│ │ │ │ +For each of these directories, run the following command to find files
│ │ │ │ +not owned by root:
│ │ │ │ +$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ +      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ +$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ +No output should be returned.
│ │ │ │ +      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep poweroff
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ --a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 disables storing core dumps for all users by issuing the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ -
│ │ │ │ -Storage=none
│ │ │ │ -      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -auditd service:
│ │ │ │ -$ sudo systemctl is-active auditd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchownat system call, run the following command:
│ │ │ │ -$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ -      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include rng_core.default_quality=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ +$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ +and verify that the line matches
│ │ │ │ +Match final all
│ │ │ │ +RekeyLimit 512M 1h
│ │ │ │ +GSSAPIAuthentication no
│ │ │ │ +Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ +PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ +MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ +KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ +      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │  
│ │ │ │ -If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ -each file specified (and perm=wa should be indicated for each).
│ │ │ │ -      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep shutdown
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ -grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -The output should be similar to the following:
│ │ │ │ -$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -:FORWARD DROP [0:0
│ │ │ │ -      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ -      <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │  
│ │ │ │ -adm.
│ │ │ │ +$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │  
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ +session [default=1] pam_lastlog.so showfailed
│ │ │ │ +      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -local_events = yes
│ │ │ │ -      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │        <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │  or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │  $ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │  The output should be:
│ │ │ │  
│ │ │ │  /etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │        Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /var
│ │ │ │ +$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ +$ grep all_squash /etc/exports
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │        <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │  in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include l1tf=, then the parameter
│ │ │ │ +If they include rng_core.default_quality=, then the parameter
│ │ │ │  is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │  Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +      <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ +$ sudo ls -l DBDIR/database_file_name
│ │ │ │ +      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_hardlinks
│ │ │ │ -1.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ -$ grep relayhost /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +
│ │ │ │ +-w /var/log/lastlog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lchown system call, run the following command:
│ │ │ │ +$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │  
│ │ │ │ -$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ +The command should return:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +0
│ │ │ │  
│ │ │ │ -$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ -pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ -If properly configured, the output should be a list of usernames and/or
│ │ │ │ -groups allowed to log in to this system.
│ │ │ │ -      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ -
│ │ │ │ -Find the location of the audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.panic_on_oops
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -Find the group that owns audit logs:
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │  
│ │ │ │ +$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Run the following command to check the mode of the system audit logs:
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │  
│ │ │ │ +$ mountpoint /var/log/audit
│ │ │ │  
│ │ │ │ -If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ -      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep reboot
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +      <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ +.rhosts inside a user home directory indicates the presence
│ │ │ │ +of an Rsh trust relationship.
│ │ │ │ +      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.randomize_va_space
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ --a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spectre_v2=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │        <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │  escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │  $ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │        Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +fchmod system call, run the following command:
│ │ │ │ +$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mce=0, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ -      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the root user:
│ │ │ │ -$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ -The output should return an alias.
│ │ │ │ -      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the device or Debian 11 does not have a camera installed, this requirement is not applicable.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ +Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │  
│ │ │ │ -For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +disk_error_action = HALT
│ │ │ │  
│ │ │ │ -Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ +$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ +If the plugin is active, the output will show yes.
│ │ │ │ +      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -install uvcvideo /bin/true
│ │ │ │ -      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +admin_space_left_action = single
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be no or delayed.
│ │ │ │ -      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +
│ │ │ │ +If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ +each file specified (and perm=wa should be indicated for each).
│ │ │ │ +      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ -      <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ -openssh-server with following command:
│ │ │ │ -$ rpm -qi openssh-server | grep Version
│ │ │ │ -Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slab_nomerge=yes, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ +$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveInterval 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ +$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ +The DoD requirement is 15.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │  run the following command:
│ │ │ │ -$ sudo systemctl is-enabled snmpd
│ │ │ │ -Output should indicate the snmpd service has either not been installed,
│ │ │ │ +$ sudo systemctl is-enabled sshd
│ │ │ │ +Output should indicate the sshd service has either not been installed,
│ │ │ │  or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled snmpd disabled
│ │ │ │ +$ sudo systemctl is-enabled sshd disabled
│ │ │ │  
│ │ │ │ -Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active snmpd
│ │ │ │ +Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active sshd
│ │ │ │  
│ │ │ │  If the service is not running the command will return the following output:
│ │ │ │  inactive
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │ +The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │  
│ │ │ │  If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │  LoadState=masked
│ │ │ │  
│ │ │ │  UnitFileState=masked
│ │ │ │ -      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -settimeofday system call, run the following command:
│ │ │ │ -$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │  $ dpkg -l  snmp
│ │ │ │        Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ -grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ -The output should return the following:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ -[xdmcp]
│ │ │ │ -Enable=false
│ │ │ │ +$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ -If the system is 64-bit only, this is not applicable
│ │ │ │ -ocil: |
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -stime system call, run the following command:
│ │ │ │ -$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -# grep -i umask /etc/login.defs
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -UMASK 
│ │ │ │ -      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ -      <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │ -
│ │ │ │ -$ dpkg -s openssh-server | grep Version
│ │ │ │ -
│ │ │ │ -Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be Protocol 2
│ │ │ │ -      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ +$ rpm -q MFEhiplsm
│ │ │ │ +      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -admin_space_left_action = single
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/ 
│ │ │ │  
│ │ │ │ -If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -/usr/sbin
│ │ │ │ -For each of these directories, run the following command to find files
│ │ │ │ -not owned by root:
│ │ │ │ -$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ -      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ -If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ -each file specified (and with perm=wa for each).
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ +To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +removexattr system call, run the following command:
│ │ │ │ +$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │ +$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ +$ sudo grep logrotate /var/log/cron*
│ │ │ │ +If logrotate is configured properly, output should include references to
│ │ │ │ +/etc/cron.daily.
│ │ │ │ +      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ -$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ -and verify that the line matches
│ │ │ │ -Match final all
│ │ │ │ -RekeyLimit 512M 1h
│ │ │ │ -GSSAPIAuthentication no
│ │ │ │ -Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ -PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ -MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ -KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ -      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ -
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ -      <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ -$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ -fixtext: |-
│ │ │ │ -Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ chmod a+t [World-Writable Directory]
│ │ │ │ -srg_requirement:
│ │ │ │ -A sticky bit must be set on all Debian 11 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │  
│ │ │ │ -The output should be:
│ │ │ │ +$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ +-e 2
│ │ │ │  
│ │ │ │ -/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ -      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │ +      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmep /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +space_left_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +drwxr-xr-x
│ │ │ │ +      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ +    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ -/etc/rsyslog.conf.
│ │ │ │ -If using UDP, a line similar to the following should be present:
│ │ │ │ - *.* @
│ │ │ │ -If using TCP, a line similar to the following should be present:
│ │ │ │ - *.* @@
│ │ │ │ -If using RELP, a line similar to the following should be present:
│ │ │ │ - *.* :omrelp:
│ │ │ │ -      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how many logs the system is configured to retain after rotation:
│ │ │ │ +$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ +num_logs = 5
│ │ │ │ +      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep poweroff
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ + for each element in root's path, run the following command:
│ │ │ │ +# ls -ld DIR
│ │ │ │ +      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If configured properly, output should be
│ │ │ │ +RekeyLimit  
│ │ │ │ +      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /home
│ │ │ │ +
│ │ │ │ +      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ +    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │        <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │  following command:
│ │ │ │  $ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │  If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │        Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that Debian 11 does not disable SELinux.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo getenforce
│ │ │ │ -Enforcing
│ │ │ │ --OR-
│ │ │ │ -Permissive
│ │ │ │ -      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ -$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ -The DoD requirement is 7.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │  unlinkat system call, run the following command:
│ │ │ │  $ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │ -
│ │ │ │ -    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmep /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +local_events = yes
│ │ │ │ +      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +ufw service:
│ │ │ │ +$ sudo systemctl is-active ufw
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +      <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ +openssh-server with following command:
│ │ │ │ +$ rpm -qi openssh-server | grep Version
│ │ │ │ +Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -The command should return:
│ │ │ │ +$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -0
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ -      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ +# ls -ld /home/USER
│ │ │ │ +      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r open /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +$ sudo grep open /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +
│ │ │ │ +The output should be:
│ │ │ │ +
│ │ │ │ +/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ +      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +settimeofday system call, run the following command:
│ │ │ │ +$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +syslog
│ │ │ │ +      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │        <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │  in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +If they include spectre_v2=on, then the parameter
│ │ │ │  is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │  Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ +      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ -$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ -If the plugin is active, the output will show yes.
│ │ │ │ -      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep init
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ntp service:
│ │ │ │ -$ sudo systemctl is-active ntp
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ -The command should return output only for the vdsm user.
│ │ │ │ -      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +      <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ +be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ +second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ +all appear in /var/log. To see the permissions of a given log
│ │ │ │ +file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +The permissions should be 640, or more restrictive.
│ │ │ │ +      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -drwxr-xr-x
│ │ │ │ -      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ +to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ +rules:
│ │ │ │ +
│ │ │ │ +FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ +for PARTITION in $PARTITIONS; do
│ │ │ │ +  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ +    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ +      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ +  done
│ │ │ │ +done
│ │ │ │ +
│ │ │ │ +The output should not contain any WARNING.
│ │ │ │ +      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ +Run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ +      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ +pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ +If properly configured, the output should be a list of usernames and/or
│ │ │ │ +groups allowed to log in to this system.
│ │ │ │ +      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ -For each kernel installed, a line with value should be returned.
│ │ │ │ -If the system architecture is x86_64, the value should be 65536.
│ │ │ │ -If the system architecture is aarch64, the value should be 32768.
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ +alter time via the /etc/localtime file, run the following
│ │ │ │ +command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +cron service:
│ │ │ │ +$ sudo systemctl is-active cron
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ +sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ +
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ +$ uname -m
│ │ │ │ +The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ +If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ +Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ +$ lscpu | grep "CPU op-mode"
│ │ │ │ +If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ +      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │        <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │  $ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ @@ -6282,1284 +6605,961 @@
│ │ │ │  
│ │ │ │  -a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │  chown system call, run the following command:
│ │ │ │  $ sudo grep "chown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.suid_dumpable
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include iommu=force, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ +$ ls -lL /var/log
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ -or scripts within /etc/profile.d directory with the following command:
│ │ │ │ -$ grep "umask" /etc/profile*
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ -or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +systemd-journald service:
│ │ │ │ +$ sudo systemctl is-active systemd-journald
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -setxattr system call, run the following command:
│ │ │ │ -$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ -      <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root login over serial ports is permitted.
│ │ │ │ -      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ - for each element in root's path, run the following command:
│ │ │ │ -# ls -ld DIR
│ │ │ │ -      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo pwck -qr
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 0
│ │ │ │ +
│ │ │ │ +In this case, the SSH timeout occurs precisely when
│ │ │ │ +the ClientAliveInterval is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ -$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -The output should contain overflow_action = syslog
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ -single, halt or the line is commented out, ask the System Administrator
│ │ │ │ -to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ -      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ -$ uname -m
│ │ │ │ -The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ -If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ -Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ -$ lscpu | grep "CPU op-mode"
│ │ │ │ -If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ -      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -systemd-journald service:
│ │ │ │ -$ sudo systemctl is-active systemd-journald
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ +such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ +automated account mechanisms in place.
│ │ │ │ +      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmodat system call, run the following command:
│ │ │ │ -$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +lsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ -to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ -rules:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │  
│ │ │ │ -FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ -for PARTITION in $PARTITIONS; do
│ │ │ │ -  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ -    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ -      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ -  done
│ │ │ │ -done
│ │ │ │ +$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -The output should not contain any WARNING.
│ │ │ │ -      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +dir = /var/log/faillock
│ │ │ │ +      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -space_left_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be .
│ │ │ │ -      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /tmp
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmap /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chronyd service:
│ │ │ │ -$ sudo systemctl is-active chronyd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_hardlinks
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit 
│ │ │ │ +
│ │ │ │ +To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit/* 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include iommu=force, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ -$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ +$ sudo auditctl -l | grep 
│ │ │ │  
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords. Remove any instances of the nullok option to
│ │ │ │ -prevent logins with empty passwords.
│ │ │ │ -      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ +-w  -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the system backups user data.
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ -$ grep all_squash /etc/exports
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ -run the following command:
│ │ │ │ -cat /etc/securetty
│ │ │ │ -If any output is returned, this is a finding.
│ │ │ │ -      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ +For each kernel installed, a line with value should be returned.
│ │ │ │ +If the system architecture is x86_64, the value should be 65536.
│ │ │ │ +If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the system backups user data.
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │  
│ │ │ │ -disk_full_action = 
│ │ │ │ +$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │  
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +-w /var/log/tallylog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lchown system call, run the following command:
│ │ │ │ -$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +clock_settime system call, run the following command:
│ │ │ │ +$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ +
│ │ │ │ +Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_error_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/gshadow
│ │ │ │ +$ ls -l /etc/shadow
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │  -rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 disables storing core dumps for all users by issuing the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +
│ │ │ │ +Storage=none
│ │ │ │ +      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmod system call, run the following command:
│ │ │ │ -$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should be
│ │ │ │ +$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ +      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /var/log
│ │ │ │ -
│ │ │ │ -      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ +or scripts within /etc/profile.d directory with the following command:
│ │ │ │ +$ grep "umask" /etc/profile*
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ +or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │  run the following command:
│ │ │ │ -$ sudo systemctl is-enabled sshd
│ │ │ │ -Output should indicate the sshd service has either not been installed,
│ │ │ │ +$ sudo systemctl is-enabled snmpd
│ │ │ │ +Output should indicate the snmpd service has either not been installed,
│ │ │ │  or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled sshd disabled
│ │ │ │ +$ sudo systemctl is-enabled snmpd disabled
│ │ │ │  
│ │ │ │ -Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active sshd
│ │ │ │ +Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active snmpd
│ │ │ │  
│ │ │ │  If the service is not running the command will return the following output:
│ │ │ │  inactive
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │  
│ │ │ │  If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │  LoadState=masked
│ │ │ │  
│ │ │ │  UnitFileState=masked
│ │ │ │ -      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ +$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log/audit
│ │ │ │ +The output should contain overflow_action = syslog
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ +single, halt or the line is commented out, ask the System Administrator
│ │ │ │ +to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ +      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ +      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the root user:
│ │ │ │ +$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ +The output should return an alias.
│ │ │ │ +      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │        <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │  $ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │  If properly configured, the output should be:
│ │ │ │  LoginGraceTime 
│ │ │ │  If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │  after the configured number seconds.
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ -      <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ -be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ -second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ -all appear in /var/log. To see the permissions of a given log
│ │ │ │ -file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -The permissions should be 640, or more restrictive.
│ │ │ │ -      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ -$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ -The DoD requirement is 15.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ +    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords.
│ │ │ │ -      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ -Run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ -      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ +$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ +The DoD requirement is 7.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ +      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep shutdown
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ --a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -mount system call, run the following command:
│ │ │ │ -$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +$ sudo grep openat /etc/audit/audit.rules
│ │ │ │  
│ │ │ │ --w /var/log/tallylog -p wa -k logins
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │ +$ mountpoint /srv
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ +$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +chmod system call, run the following command:
│ │ │ │ +$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -"umount" system call, run the following command:
│ │ │ │ -$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ --a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ +      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ +grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ +If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ +      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ -      <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ -/etc/passwd, run the following command:
│ │ │ │ -awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ -If it produces any output, then a password hash is
│ │ │ │ -stored in /etc/passwd.
│ │ │ │ -      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -cron service:
│ │ │ │ -$ sudo systemctl is-active cron
│ │ │ │ +
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ip6tables service:
│ │ │ │ +$ sudo systemctl is-active ip6tables
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ -$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ -No output should be returned.
│ │ │ │ -      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ -# ls -ld /home/USER
│ │ │ │ -      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 enforces a -day maximum password lifetime for new user accounts by running the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │  
│ │ │ │ -$ grep -i pass_max_days /etc/login.defs
│ │ │ │ +$ mountpoint /dev/shm
│ │ │ │  
│ │ │ │ -PASS_MAX_DAYS 
│ │ │ │ -      Is it the case that the "PASS_MAX_DAYS" parameter value is greater than "&lt;sub idref="var_accounts_maximum_age_login_defs" /&gt;", or commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ -/lib
│ │ │ │ -/lib64
│ │ │ │ -/usr/lib
│ │ │ │ -/usr/lib64
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that Debian 11 verifies correct operation of security functions.
│ │ │ │  
│ │ │ │ -To find shared libraries that are group-writable or world-writable,
│ │ │ │ -run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo getenforce
│ │ │ │ +
│ │ │ │ +      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ +$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ +$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ +      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/sbin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +To find system executables directories that are group-writable or
│ │ │ │ +world-writable, run the following command for each directory DIR
│ │ │ │ +which contains system executables:
│ │ │ │  $ sudo find -L DIR -perm /022 -type d
│ │ │ │        Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/group
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -syslog
│ │ │ │ -      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ mountpoint /tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │        <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │  $ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.kptr_restrict
│ │ │ │ -The output of the command should indicate either:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ -The output of the command should not indicate:
│ │ │ │ -kernel.kptr_restrict = 0
│ │ │ │ -
│ │ │ │ -The preferable way how to assure the runtime compliance is to have
│ │ │ │ -correct persistent configuration, and rebooting the system.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │  
│ │ │ │ -The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ -assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ -Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ -$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ -The command should not find any assignments other than:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ +$ mountpoint /var
│ │ │ │  
│ │ │ │ -Conflicting assignments are not allowed.
│ │ │ │ -      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │        <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │  $ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │  If configured, this command should output the configuration.
│ │ │ │        Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +
│ │ │ │ +$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ +
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords. Remove any instances of the nullok option to
│ │ │ │ +prevent logins with empty passwords.
│ │ │ │ +      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ +$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ +The output should return root.
│ │ │ │ +      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +      <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root login over serial ports is permitted.
│ │ │ │ +      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ -
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │ +fchownat system call, run the following command:
│ │ │ │ +$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +"umount" system call, run the following command:
│ │ │ │ +$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ +-a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /dev/shm
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ +run the following command:
│ │ │ │ +cat /etc/securetty
│ │ │ │ +If any output is returned, this is a finding.
│ │ │ │ +      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ufw service:
│ │ │ │ -$ sudo systemctl is-active ufw
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ -      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit 
│ │ │ │ -
│ │ │ │ -To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit/* 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ -      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ --e 2
│ │ │ │ -
│ │ │ │ -      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ -$ rpm -q MFEhiplsm
│ │ │ │ -      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ -grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ -If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ -      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ -      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ -$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ -The output should return root.
│ │ │ │ -      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -clock_settime system call, run the following command:
│ │ │ │ -$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ -.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ -$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -MaxSessions 
│ │ │ │ -      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ -such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ -automated account mechanisms in place.
│ │ │ │ -      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ +grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +The output should be similar to the following:
│ │ │ │ +$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +:FORWARD DROP [0:0
│ │ │ │ +      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ +      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -adm
│ │ │ │ -      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -and
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -Both commands should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ +If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ +each file specified (and with perm=wa for each).
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ -every  records, run the following command:
│ │ │ │ -$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │  The output should return the following:
│ │ │ │ -freq = 
│ │ │ │ -      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +write_logs = yes
│ │ │ │ +      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/
│ │ │ │ +
│ │ │ │ +To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │        <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │  .
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_error_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ -
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ -
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ +following command:
│ │ │ │ +$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +umount2 system call, run the following command:
│ │ │ │ +$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ -sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │  The command should return no output.
│ │ │ │ -      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep 
│ │ │ │ -
│ │ │ │ --w  -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │        <ocil:question_text>Verify Debian 11 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │  
│ │ │ │  Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │  
│ │ │ │  $ grep -i pass_min_days /etc/login.defs
│ │ │ │  
│ │ │ │  PASS_MIN_DAYS 
│ │ │ │        Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo find /home -xdev -name .netrc
│ │ │ │ -      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chmod system call, run the following command:
│ │ │ │ -$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +adm
│ │ │ │ +      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ -$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -session [default=1] pam_lastlog.so showfailed
│ │ │ │ -      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ -$ dpkg -l  cron
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ +$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +MaxSessions 
│ │ │ │ +      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │ -
│ │ │ │ -The output should be the following:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ -      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -removexattr system call, run the following command:
│ │ │ │ -$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ -The following command should return no output
│ │ │ │ -$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ -for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ -then echo "Expiry date in future";
│ │ │ │ -fi; done 
│ │ │ │ -      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo pwck -qr
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should be
│ │ │ │ -$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ -      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │ +$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ +FAIL_DELAY 
│ │ │ │ +      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ mountpoint /var/log
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │  polyinstantiated directory:
│ │ │ │  $ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │  The output should return the following:
│ │ │ │  /tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │        Is it the case that is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ -architecture, and socket address information before writing the event to disk,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -log_format = ENRICHED
│ │ │ │ -      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +action_mail_acct = 
│ │ │ │ +      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 disables core dump backtraces by issuing the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ -
│ │ │ │ -ProcessSizeMax=0
│ │ │ │ -      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +syslog-ng service:
│ │ │ │ +$ sudo systemctl is-active syslog-ng
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.randomize_va_space
│ │ │ │ -2.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │    </ocil:questions>
│ │ │ │  </ocil:ocil>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-xccdf.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-xccdf.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -72,181 +72,181 @@
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">os-srg</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://www.niap-ccevs.org/Profile/PP.cfm">ospp</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">pcidss</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">pcidss4</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cunix-linux">stigid</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/srg-stig-tools/">stigref</xccdf-1.2:reference>
│ │ │ │    <cpe-lang:platform-specification>
│ │ │ │ -    <cpe-lang:platform id="package_sudo">
│ │ │ │ +    <cpe-lang:platform id="package_logrotate">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │ +    <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="package_pam">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │ +    <cpe-lang:platform id="package_systemd">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ -        </cpe-lang:logical-test>
│ │ │ │ -        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -        </cpe-lang:logical-test>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="package_iptables">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │ +    <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="package_audit">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_logrotate">
│ │ │ │ +    <cpe-lang:platform id="package_sudo">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_rsyslog">
│ │ │ │ +    <cpe-lang:platform id="aarch64_arch">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ -      <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +    <cpe-lang:platform id="package_ntp">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="x86_64_arch">
│ │ │ │ +    <cpe-lang:platform id="package_rsh-server">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="package_shadow-utils">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_pam">
│ │ │ │ +    <cpe-lang:platform id="package_rsyslog">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_gdm">
│ │ │ │ +    <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_net-snmp">
│ │ │ │ +    <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ +      <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="package_gdm">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="machine">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_rsh-server">
│ │ │ │ +    <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │ +        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +        </cpe-lang:logical-test>
│ │ │ │ +        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +        </cpe-lang:logical-test>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_systemd">
│ │ │ │ +    <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_ntp">
│ │ │ │ +    <cpe-lang:platform id="system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="package_chrony">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="package_postfix">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="machine">
│ │ │ │ +    <cpe-lang:platform id="package_net-snmp">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="aarch64_arch">
│ │ │ │ +    <cpe-lang:platform id="x86_64_arch">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_audit">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="system_with_kernel">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │    </cpe-lang:platform-specification>
│ │ │ │    <xccdf-1.2:platform idref="cpe:/o:debian:debian_linux:11"/>
│ │ │ │    <xccdf-1.2:version update="https://github.com/ComplianceAsCode/content/releases/latest">0.1.76</xccdf-1.2:version>
│ │ │ │    <xccdf-1.2:metadata>
│ │ │ │      <dc:publisher>SCAP Security Guide Project</dc:publisher>
│ │ │ │      <dc:creator>SCAP Security Guide Project</dc:creator>
│ │ │ │      <dc:contributor>Frank J Cameron (CAM1244) &lt;cameron@ctc.com&gt;</dc:contributor>
│ │ │ │ @@ -1308,24 +1308,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-11.5</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000445-GPOS-00199</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R76</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R79</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">11.5.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The AIDE package must be installed if it is to be available for integrity checking.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.10.1.3
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-11.5
│ │ │ │ @@ -1358,14 +1348,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_aide_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_aide_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -3396,36 +3396,36 @@
│ │ │ │            <xccdf-1.2:rationale>GnuTLS is a secure communications library implementing the SSL, TLS and DTLS
│ │ │ │  protocols and technologies around them. It provides a simple C language
│ │ │ │  application programming interface (API) to access the secure communications
│ │ │ │  protocols as well as APIs to parse and write X.509, PKCS #12, OpenPGP and
│ │ │ │  other required structures.
│ │ │ │  This package contains command line TLS client and server and certificate
│ │ │ │  manipulation tools.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ -name = "gnutls-utils"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ -
│ │ │ │ -class install_gnutls-utils {
│ │ │ │ -  package { 'gnutls-utils':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure gnutls-utils is installed
│ │ │ │    package:
│ │ │ │      name: gnutls-utils
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_gnutls-utils_installed</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "gnutls-utils"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ +name = "gnutls-utils"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ +
│ │ │ │ +class install_gnutls-utils {
│ │ │ │ +  package { 'gnutls-utils':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_gnutls-utils_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -3445,36 +3445,36 @@
│ │ │ │  support cross-platform development of security-enabled client and
│ │ │ │  server applications. Install the
│ │ │ │              <html:code>nss-tools</html:code>
│ │ │ │              package
│ │ │ │  to install command-line tools to manipulate the NSS certificate
│ │ │ │  and key database.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ -name = "nss-tools"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ -
│ │ │ │ -class install_nss-tools {
│ │ │ │ -  package { 'nss-tools':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure nss-tools is installed
│ │ │ │    package:
│ │ │ │      name: nss-tools
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nss-tools_installed</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "nss-tools"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ +name = "nss-tools"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ +
│ │ │ │ +class install_nss-tools {
│ │ │ │ +  package { 'nss-tools':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_nss-tools_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -9318,24 +9318,14 @@
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000479-GPOS-00224</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000051-GPOS-00024</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -9362,14 +9352,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_rsyslog_installed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -9457,24 +9457,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            The
│ │ │ │            <html:code>rsyslog</html:code>
│ │ │ │            service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -9505,14 +9495,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_rsyslog_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -11123,24 +11123,14 @@
│ │ │ │              service can be enabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl enable systemd-journald.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-001665</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">SC-24</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000269-GPOS-00103</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>In the event of a system failure, Debian 11 must preserve any information necessary to determine cause of failure and any information necessary to return to operations with least disruption to system processes.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ -enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ -
│ │ │ │ -class enable_systemd-journald {
│ │ │ │ -  service {'systemd-journald':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -11169,14 +11159,24 @@
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_systemd-journald_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ +enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ +
│ │ │ │ +class enable_systemd-journald {
│ │ │ │ +  service {'systemd-journald':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_systemd-journald_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -11263,24 +11263,14 @@
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.7</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The logrotate package provides the logrotate services.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.7
│ │ │ │    - PCI-DSSv4-10.5
│ │ │ │ @@ -11313,14 +11303,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_logrotate_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -11545,24 +11545,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The syslog-ng-core package provides the syslog-ng daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -11589,14 +11579,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_syslogng_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -11685,24 +11685,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>
│ │ │ │              The
│ │ │ │              <html:code>syslog-ng</html:code>
│ │ │ │              service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -11733,14 +11723,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_syslogng_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -12257,24 +12257,14 @@
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>ip6tables</html:code>
│ │ │ │                service provides the system's host-based firewalling
│ │ │ │  capability for IPv6 and ICMPv6.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ -enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ -
│ │ │ │ -class enable_ip6tables {
│ │ │ │ -  service {'ip6tables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -12311,14 +12301,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ip6tables_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ +enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ +
│ │ │ │ +class enable_ip6tables {
│ │ │ │ +  service {'ip6tables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ip6tables_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -12463,24 +12463,14 @@
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>iptables</html:code>
│ │ │ │                service provides the system's host-based firewalling
│ │ │ │  capability for IPv4 and ICMP.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_iptables_and_service_disabled_firewalld_and_system_with_kernel"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ -enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ -
│ │ │ │ -class enable_iptables {
│ │ │ │ -  service {'iptables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -12518,14 +12508,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_iptables_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ +enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ +
│ │ │ │ +class enable_iptables {
│ │ │ │ +  service {'iptables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_iptables_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -14662,24 +14662,14 @@
│ │ │ │              service can be enabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl enable ufw.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-002314</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000297-GPOS-00115</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The ufw service must be enabled and running in order for ufw to protect the system</xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_ufw_and_system_with_kernel"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ -enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ -
│ │ │ │ -class enable_ufw {
│ │ │ │ -  service {'ufw':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -14708,14 +14698,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ufw_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ +enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ +
│ │ │ │ +class enable_ufw {
│ │ │ │ +  service {'ufw':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ufw_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -21776,24 +21776,14 @@
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The cron service allow periodic job execution, needed for almost all administrative tasks and services (software update, log rotating, etc.). Access to cron service should be restricted to administrative accounts only.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -21824,14 +21814,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_cron_installed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_cron_installed_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -21918,24 +21918,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.14.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.9.1.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Due to its usage for maintenance and security-supporting tasks,
│ │ │ │  enabling the cron daemon is essential.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ -enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -21964,14 +21954,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ +enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_cron_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_cron_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -22075,21 +22075,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            allows clear text communications, and does not protect any
│ │ │ │  data transmission between client and server. Any confidential data can be
│ │ │ │  listened and no integrity checking is made.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │      name: inetutils-telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -22103,30 +22096,30 @@
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_inetutils-telnetd_removed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │        <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_nis_removed" severity="low">
│ │ │ │          <xccdf-1.2:title>Uninstall the nis package</xccdf-1.2:title>
│ │ │ │          <xccdf-1.2:description>The support for Yellowpages should not be installed unless it is required.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>NIS is the historical SUN service for central account management, more and more replaced by LDAP.
│ │ │ │  NIS does not support efficiently security constraints, ACL, etc. and should not be used.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │      name: nis
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22137,29 +22130,29 @@
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_nis_removed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │        <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_ntpdate_removed" severity="low">
│ │ │ │          <xccdf-1.2:title>Uninstall the ntpdate package</xccdf-1.2:title>
│ │ │ │          <xccdf-1.2:description>ntpdate is a historical ntp synchronization client for unixes. It sould be uninstalled.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>ntpdate is an old not security-compliant ntp client. It should be replaced by modern ntp clients such as ntpd, able to use cryptographic mechanisms integrated in NTP.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │      name: ntpdate
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22170,14 +22163,21 @@
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_ntpdate_removed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │        <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed" severity="high">
│ │ │ │          <xccdf-1.2:title>Uninstall the ssl compliant telnet server</xccdf-1.2:title>
│ │ │ │          <xccdf-1.2:description>
│ │ │ │ @@ -22276,21 +22276,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            , even with ssl support, should not be installed.
│ │ │ │  When remote shell is required, up-to-date ssh daemon can be used.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │      name: telnetd-ssl
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -22304,14 +22297,21 @@
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_telnetd-ssl_removed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │        <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_telnetd_removed" severity="high">
│ │ │ │          <xccdf-1.2:title>Uninstall the telnet server</xccdf-1.2:title>
│ │ │ │          <xccdf-1.2:description>The telnet daemon should be uninstalled.</xccdf-1.2:description>
│ │ │ │ @@ -22407,21 +22407,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            allows clear text communications, and does not protect
│ │ │ │  any data transmission between client and server. Any confidential data
│ │ │ │  can be listened and no integrity checking is made.'
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │      name: telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -22435,14 +22428,21 @@
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_telnetd_removed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │      </xccdf-1.2:Group>
│ │ │ │      <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_dhcp">
│ │ │ │        <xccdf-1.2:title>DHCP</xccdf-1.2:title>
│ │ │ │ @@ -22790,24 +22790,14 @@
│ │ │ │            package can be installed with the following command:
│ │ │ │            <html:pre>$ apt-get install postfix</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000139</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000046-GPOS-00022</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Emails can be used to notify designated personnel about important
│ │ │ │  system events such as failures or warnings.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ -name = "postfix"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ -
│ │ │ │ -class install_postfix {
│ │ │ │ -  package { 'postfix':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -22832,14 +22822,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "postfix"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ +name = "postfix"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ +
│ │ │ │ +class install_postfix {
│ │ │ │ +  package { 'postfix':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_postfix_installed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_postfix_installed_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -23188,24 +23188,14 @@
│ │ │ │  
│ │ │ │  The
│ │ │ │                <html:code>netfs</html:code>
│ │ │ │                service can be disabled with the following command:
│ │ │ │                <html:pre>$ sudo systemctl mask --now netfs.service</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ -masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ -
│ │ │ │ -class disable_netfs {
│ │ │ │ -  service {'netfs':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -23273,14 +23263,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_netfs_disabled
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ +masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ +
│ │ │ │ +class disable_netfs {
│ │ │ │ +  service {'netfs':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_netfs_disabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │          </xccdf-1.2:Group>
│ │ │ │        </xccdf-1.2:Group>
│ │ │ │        <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_nfs_configuring_servers">
│ │ │ │ @@ -23437,24 +23437,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6.1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Time synchronization is important to support time sensitive security mechanisms like
│ │ │ │  Kerberos and also ensures log files have consistent time records across the enterprise,
│ │ │ │  which aids in forensic investigations.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - PCI-DSSv4-10.6
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │ @@ -23485,14 +23475,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_chrony_installed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_chrony_installed_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -23528,24 +23528,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Time synchronization (using NTP) is required by almost all network and administrative tasks (syslog, cryptographic based services (authentication, etc.), etc.). Ntpd is regulary maintained and updated, supporting security features such as RFC 5906.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │ @@ -23574,14 +23564,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_ntp_installed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_ntp_installed_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -23601,24 +23601,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-004923</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">0988</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1405</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If chrony is in use on the system proper configuration is vital to ensuring time
│ │ │ │  synchronization is working properly.</xccdf-1.2:rationale>
│ │ │ │          <xccdf-1.2:platform idref="#package_chrony"/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ -enabled = ["chronyd"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chronyd
│ │ │ │ -
│ │ │ │ -class enable_chronyd {
│ │ │ │ -  service {'chronyd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -23647,14 +23637,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_chronyd_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ +enabled = ["chronyd"]</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chronyd
│ │ │ │ +
│ │ │ │ +class enable_chronyd {
│ │ │ │ +  service {'chronyd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_chronyd_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -23716,24 +23716,14 @@
│ │ │ │            <html:br/>
│ │ │ │            The NTP daemon offers all of the functionality of
│ │ │ │            <html:code>ntpdate</html:code>
│ │ │ │            , which is now
│ │ │ │  deprecated.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │          <xccdf-1.2:platform idref="#package_ntp"/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ -enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-8(1)(a)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │ @@ -23772,14 +23762,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ +enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ntp_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -24137,21 +24137,14 @@
│ │ │ │              <html:pre>$ apt-get remove snmp</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>If there is no need to run SNMP server software,
│ │ │ │  removing the package provides a safeguard against its
│ │ │ │  activation.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_snmp
│ │ │ │ -
│ │ │ │ -class remove_snmp {
│ │ │ │ -  package { 'snmp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure snmp is removed
│ │ │ │    package:
│ │ │ │      name: snmp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │ @@ -24164,14 +24157,21 @@
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove snmp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on snmp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "snmp"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_snmp
│ │ │ │ +
│ │ │ │ +class remove_snmp {
│ │ │ │ +  package { 'snmp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_net-snmp_removed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -24183,24 +24183,14 @@
│ │ │ │              service can be disabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl mask --now snmpd.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1311</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>Running SNMP software provides a network-based avenue of attack, and
│ │ │ │  should be disabled if not needed.</xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_snmpd_and_system_with_kernel"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ -masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ -
│ │ │ │ -class disable_snmpd {
│ │ │ │ -  service {'snmpd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -24271,14 +24261,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_snmpd_disabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ +masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ +
│ │ │ │ +class disable_snmpd {
│ │ │ │ +  service {'snmpd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_snmpd_disabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -24544,24 +24544,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000423-GPOS-00187</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000424-GPOS-00188</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000425-GPOS-00189</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000426-GPOS-00190</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ -name = "openssh-server"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ -
│ │ │ │ -class install_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -24588,14 +24578,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ +name = "openssh-server"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ +
│ │ │ │ +class install_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_openssh-server_installed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -24609,21 +24609,14 @@
│ │ │ │            <html:code>openssh-server</html:code>
│ │ │ │            package can be removed with the following command:
│ │ │ │            <html:pre>$ apt-get remove openssh-server</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ -
│ │ │ │ -class remove_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -24654,14 +24647,21 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ +
│ │ │ │ +class remove_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_openssh-server_removed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -24672,24 +24672,14 @@
│ │ │ │  This is unusual, as SSH is a common method for encrypted and authenticated
│ │ │ │  remote access.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-3(6)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">IA-2(4)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000185-CTR-000490</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000141-CTR-000315</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ -masked = ["ssh"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ -
│ │ │ │ -class disable_sshd {
│ │ │ │ -  service {'ssh':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-3(6)
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │ @@ -24766,14 +24756,24 @@
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_sshd_disabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ +masked = ["ssh"]</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ +
│ │ │ │ +class disable_sshd {
│ │ │ │ +  service {'ssh':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_sshd_disabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -25141,22 +25141,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If an unauthorized user obtains the private SSH host key file, the host could be
│ │ │ │  impersonated.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_private_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -25234,14 +25226,22 @@
│ │ │ │          echo "Key-like file '$keyfile' is owned by an unexpected user:group combination"
│ │ │ │      fi
│ │ │ │  done
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-file_permissions_sshd_private_key:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -25313,22 +25313,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If a public host key file is modified by an unauthorized user, the SSH service
│ │ │ │  may be compromised.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -25396,14 +25388,22 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-file_permissions_sshd_pub_key:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -31277,24 +31277,14 @@
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000392-GPOS-00172</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000475-GPOS-00220</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R33</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R73</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2.1</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:rationale>The auditd service is an access monitoring and accounting daemon, watching system calls to audit any access, in comparison with potential local access control policy such as SELinux policy.</xccdf-1.2:rationale>
│ │ │ │ -      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-7(a)
│ │ │ │    - NIST-800-53-AU-12(2)
│ │ │ │    - NIST-800-53-AU-14
│ │ │ │ @@ -31339,14 +31329,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │          <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_audit_installed:def:1"/>
│ │ │ │        </xccdf-1.2:check>
│ │ │ │        <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │          <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_audit_installed_ocil:questionnaire:1"/>
│ │ │ │        </xccdf-1.2:check>
│ │ │ │      </xccdf-1.2:Rule>
│ │ │ │ @@ -31556,24 +31556,14 @@
│ │ │ │          <html:br/>
│ │ │ │          Additionally, a properly configured audit subsystem ensures that actions of
│ │ │ │  individual system users can be uniquely traced to those users so they
│ │ │ │  can be held accountable for their actions.
│ │ │ │        </xccdf-1.2:rationale>
│ │ │ │        <xccdf-1.2:platform idref="#package_audit"/>
│ │ │ │        <xccdf-1.2:requires idref="xccdf_org.ssgproject.content_rule_package_audit_installed"/>
│ │ │ │ -      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ -enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ -      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.4.1.1
│ │ │ │    - NIST-800-171-3.3.1
│ │ │ │    - NIST-800-171-3.3.2
│ │ │ │ @@ -31634,14 +31624,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ +enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │          <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_auditd_enabled:def:1"/>
│ │ │ │        </xccdf-1.2:check>
│ │ │ │        <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │          <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1"/>
│ │ │ │        </xccdf-1.2:check>
│ │ │ │      </xccdf-1.2:Rule>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -106,282 +106,282 @@
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">os-srg</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://www.niap-ccevs.org/Profile/PP.cfm">ospp</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">pcidss</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">pcidss4</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cunix-linux">stigid</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/srg-stig-tools/">stigref</xccdf-1.2:reference>
│ │ │ │        <cpe-lang:platform-specification>
│ │ │ │ -        <cpe-lang:platform id="package_sudo">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_aide_and_package_systemd">
│ │ │ │ +        <cpe-lang:platform id="mount_var-log">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_aide:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-log:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="selinux">
│ │ │ │ +        <cpe-lang:platform id="package_logrotate">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-selinux_is_enabled:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_var-tmp">
│ │ │ │ +        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-tmp:def:1"/>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_var">
│ │ │ │ +        <cpe-lang:platform id="package_pam">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_var-log">
│ │ │ │ +        <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-log:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_tmp">
│ │ │ │ +        <cpe-lang:platform id="mount_home">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_tmp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_home:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_srv">
│ │ │ │ +        <cpe-lang:platform id="package_systemd">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_srv:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_opt">
│ │ │ │ +        <cpe-lang:platform id="package_iptables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_opt:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_home">
│ │ │ │ +        <cpe-lang:platform id="grub2">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_home:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="package_audit">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_nftables">
│ │ │ │ +        <cpe-lang:platform id="machine_and_package_apparmor">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_apparmor:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="ipv6_enabled">
│ │ │ │ +        <cpe-lang:platform id="package_sudo">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-ipv6_enabled:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │ +        <cpe-lang:platform id="selinux">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-selinux_is_enabled:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_iptables">
│ │ │ │ +        <cpe-lang:platform id="aarch64_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │ +        <cpe-lang:platform id="package_ntp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="os_linux_ol_gt_or_eq_8_7">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_ol_gt_or_eq_8_7:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_libreswan">
│ │ │ │ +        <cpe-lang:platform id="package_rsh-server">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_libreswan:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_logrotate">
│ │ │ │ +        <cpe-lang:platform id="os_linux_rhel_gt_or_eq_8_7_and_os_linux_rhel_ne_9_0">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_gt_or_eq_8_7:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_ne_9_0:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_shadow-utils">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_rsyslog">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │            <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="x86_64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="uefi">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_uefi:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_bootc">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │ +        <cpe-lang:platform id="package_gdm">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="non-uefi">
│ │ │ │ +        <cpe-lang:platform id="ipv6_enabled">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_non_uefi:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-ipv6_enabled:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="mount_tmp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_tmp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="machine_and_package_apparmor">
│ │ │ │ +        <cpe-lang:platform id="package_aide_and_package_systemd">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_apparmor:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_aide:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_bash">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_bash:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="os_linux_ol_gt_or_eq_8_7">
│ │ │ │ +        <cpe-lang:platform id="package_nftables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_ol_gt_or_eq_8_7:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="os_linux_rhel_gt_or_eq_8_7_and_os_linux_rhel_ne_9_0">
│ │ │ │ +        <cpe-lang:platform id="machine">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_gt_or_eq_8_7:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_ne_9_0:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_shadow-utils">
│ │ │ │ +        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_pam">
│ │ │ │ +        <cpe-lang:platform id="mount_srv">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_srv:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_gdm">
│ │ │ │ +        <cpe-lang:platform id="non-uefi">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_non_uefi:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_net-snmp">
│ │ │ │ +        <cpe-lang:platform id="package_libreswan">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_libreswan:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_rsh-server">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_systemd">
│ │ │ │ +        <cpe-lang:platform id="system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_ntp">
│ │ │ │ +        <cpe-lang:platform id="package_chrony">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_chrony">
│ │ │ │ +        <cpe-lang:platform id="mount_opt">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_opt:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_postfix">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="machine">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +        <cpe-lang:platform id="not_bootc">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="grub2">
│ │ │ │ +        <cpe-lang:platform id="package_net-snmp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="aarch64_arch">
│ │ │ │ +        <cpe-lang:platform id="x86_64_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_audit">
│ │ │ │ +        <cpe-lang:platform id="mount_var-tmp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-tmp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="mount_var">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │        </cpe-lang:platform-specification>
│ │ │ │        <xccdf-1.2:platform idref="cpe:/o:debian:debian_linux:12"/>
│ │ │ │        <xccdf-1.2:version update="https://github.com/ComplianceAsCode/content/releases/latest">0.1.76</xccdf-1.2:version>
│ │ │ │        <xccdf-1.2:metadata>
│ │ │ │          <dc:publisher>SCAP Security Guide Project</dc:publisher>
│ │ │ │ @@ -2904,24 +2904,14 @@
│ │ │ │                    <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-3</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-11.5</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000445-GPOS-00199</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R76</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R79</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">11.5.2</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:rationale>The AIDE package must be installed if it is to be available for integrity checking.</xccdf-1.2:rationale>
│ │ │ │ -                  <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -                  <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                    <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.10.1.3
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-11.5
│ │ │ │ @@ -2954,14 +2944,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +                  <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +                  <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                    <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                      <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_aide_installed:def:1"/>
│ │ │ │                    </xccdf-1.2:check>
│ │ │ │                    <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                      <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_aide_installed_ocil:questionnaire:1"/>
│ │ │ │                    </xccdf-1.2:check>
│ │ │ │                  </xccdf-1.2:Rule>
│ │ │ │ @@ -5218,24 +5218,14 @@
│ │ │ │                  <html:code>sudo</html:code>
│ │ │ │                  is a program designed to allow a system administrator to give
│ │ │ │  limited root privileges to users and log root activity. The basic philosophy
│ │ │ │  is to give as few privileges as possible but still allow system users to
│ │ │ │  get their work done.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_sudo_installed">[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -5266,14 +5256,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "sudo"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_sudo_installed">[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_sudo_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_sudo_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -6724,36 +6724,36 @@
│ │ │ │                <xccdf-1.2:rationale>GnuTLS is a secure communications library implementing the SSL, TLS and DTLS
│ │ │ │  protocols and technologies around them. It provides a simple C language
│ │ │ │  application programming interface (API) to access the secure communications
│ │ │ │  protocols as well as APIs to parse and write X.509, PKCS #12, OpenPGP and
│ │ │ │  other required structures.
│ │ │ │  This package contains command line TLS client and server and certificate
│ │ │ │  manipulation tools.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ -name = "gnutls-utils"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ -
│ │ │ │ -class install_gnutls-utils {
│ │ │ │ -  package { 'gnutls-utils':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure gnutls-utils is installed
│ │ │ │    package:
│ │ │ │      name: gnutls-utils
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_gnutls-utils_installed</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "gnutls-utils"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ +name = "gnutls-utils"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ +
│ │ │ │ +class install_gnutls-utils {
│ │ │ │ +  package { 'gnutls-utils':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_gnutls-utils_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -6773,36 +6773,36 @@
│ │ │ │  support cross-platform development of security-enabled client and
│ │ │ │  server applications. Install the
│ │ │ │                  <html:code>nss-tools</html:code>
│ │ │ │                  package
│ │ │ │  to install command-line tools to manipulate the NSS certificate
│ │ │ │  and key database.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ -name = "nss-tools"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ -
│ │ │ │ -class install_nss-tools {
│ │ │ │ -  package { 'nss-tools':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure nss-tools is installed
│ │ │ │    package:
│ │ │ │      name: nss-tools
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nss-tools_installed</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "nss-tools"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ +name = "nss-tools"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ +
│ │ │ │ +class install_nss-tools {
│ │ │ │ +  package { 'nss-tools':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_nss-tools_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -7002,24 +7002,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00225</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Use of a complex password helps to increase the time and resources required
│ │ │ │  to compromise the password. Password complexity, or strength, is a measure
│ │ │ │  of the effectiveness of a password in resisting attempts at guessing and
│ │ │ │  brute-force attacks. "pwquality" enforces complex password construction
│ │ │ │  configuration and has the ability to limit brute-force attacks on the system.</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_pam"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_pwquality_installed">[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -7043,14 +7033,24 @@
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}\n' 'libpam-runtime' 2&gt;/dev/null | grep -q '^installed'; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-pwquality"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_pwquality_installed">[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_pam_pwquality_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -13808,24 +13808,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000312-GPOS-00123</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000312-GPOS-00124</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000324-GPOS-00125</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000370-GPOS-00155</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R45</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Without a Mandatory Access Control system installed only the default
│ │ │ │  Discretionary Access Control system will be available.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_apparmor_installed">[[packages]]
│ │ │ │ -name = "apparmor"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_apparmor
│ │ │ │ -
│ │ │ │ -class install_apparmor {
│ │ │ │ -  package { 'apparmor':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure apparmor is installed
│ │ │ │    package:
│ │ │ │      name: apparmor
│ │ │ │      state: present
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │ @@ -13838,14 +13828,24 @@
│ │ │ │  if [ ! -f /.dockerenv ] &amp;&amp; [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_apparmor_installed">[[packages]]
│ │ │ │ +name = "apparmor"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_apparmor
│ │ │ │ +
│ │ │ │ +class install_apparmor {
│ │ │ │ +  package { 'apparmor':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_apparmor_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_pam_apparmor_installed" severity="medium">
│ │ │ │              <xccdf-1.2:title>Install the pam_apparmor Package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>
│ │ │ │ @@ -13875,24 +13875,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00230</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00231</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00232</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R45</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Protection of system integrity using AppArmor depends on this package being
│ │ │ │  installed.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_apparmor_installed">[[packages]]
│ │ │ │ -name = "libpam-apparmor"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-apparmor
│ │ │ │ -
│ │ │ │ -class install_libpam-apparmor {
│ │ │ │ -  package { 'libpam-apparmor':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure libpam-apparmor is installed
│ │ │ │    package:
│ │ │ │      name: libpam-apparmor
│ │ │ │      state: present
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-3(4)
│ │ │ │ @@ -13912,14 +13902,24 @@
│ │ │ │  if [ ! -f /.dockerenv ] &amp;&amp; [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_apparmor_installed">[[packages]]
│ │ │ │ +name = "libpam-apparmor"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-apparmor
│ │ │ │ +
│ │ │ │ +class install_libpam-apparmor {
│ │ │ │ +  package { 'libpam-apparmor':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_pam_apparmor_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -14120,24 +14120,14 @@
│ │ │ │  with a System Administrator (SA) through shared resources.
│ │ │ │                <html:br/>
│ │ │ │                <html:br/>
│ │ │ │                Apparmor can confine users to their home directory, not allowing them to
│ │ │ │  make any changes outside of their own home directories. Confining users to
│ │ │ │  their home directory will minimize the risk of sharing information.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="apparmor_configured">[customizations.services]
│ │ │ │ -enabled = ["apparmor"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="apparmor_configured" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_apparmor
│ │ │ │ -
│ │ │ │ -class enable_apparmor {
│ │ │ │ -  service {'apparmor':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="apparmor_configured">- name: Start apparmor.service
│ │ │ │    systemd:
│ │ │ │      name: apparmor.service
│ │ │ │      state: started
│ │ │ │      enabled: true
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │ @@ -14146,14 +14136,24 @@
│ │ │ │    - NIST-800-53-AC-6(8)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(2)
│ │ │ │    - NIST-800-53-CM-7(5)(b)
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - apparmor_configured
│ │ │ │    - medium_severity</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="apparmor_configured">[customizations.services]
│ │ │ │ +enabled = ["apparmor"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="apparmor_configured" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_apparmor
│ │ │ │ +
│ │ │ │ +class enable_apparmor {
│ │ │ │ +  service {'apparmor':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-apparmor_configured:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-apparmor_configured_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -20305,24 +20305,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000366</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000803</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000120-GPOS-00061</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The rsyslog-gnutls package provides Transport Layer Security (TLS) support
│ │ │ │  for the rsyslog daemon, which enables secure remote logging.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog-gnutls_installed">[[packages]]
│ │ │ │ -name = "rsyslog-gnutls"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog-gnutls
│ │ │ │ -
│ │ │ │ -class install_rsyslog-gnutls {
│ │ │ │ -  package { 'rsyslog-gnutls':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -20347,14 +20337,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog-gnutls"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog-gnutls_installed">[[packages]]
│ │ │ │ +name = "rsyslog-gnutls"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog-gnutls
│ │ │ │ +
│ │ │ │ +class install_rsyslog-gnutls {
│ │ │ │ +  package { 'rsyslog-gnutls':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_rsyslog-gnutls_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -20401,24 +20401,14 @@
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000479-GPOS-00224</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000051-GPOS-00024</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -20445,14 +20435,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_rsyslog_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -20540,24 +20540,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>rsyslog</html:code>
│ │ │ │                service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -20588,14 +20578,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_rsyslog_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -22206,24 +22206,14 @@
│ │ │ │                  service can be enabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl enable systemd-journald.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-001665</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">SC-24</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000269-GPOS-00103</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>In the event of a system failure, Debian 12 must preserve any information necessary to determine cause of failure and any information necessary to return to operations with least disruption to system processes.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ -enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ -
│ │ │ │ -class enable_systemd-journald {
│ │ │ │ -  service {'systemd-journald':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22252,14 +22242,24 @@
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_systemd-journald_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ +enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ +
│ │ │ │ +class enable_systemd-journald {
│ │ │ │ +  service {'systemd-journald':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_systemd-journald_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -22346,24 +22346,14 @@
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.7</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5.1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The logrotate package provides the logrotate services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.7
│ │ │ │    - PCI-DSSv4-10.5
│ │ │ │ @@ -22396,14 +22386,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_logrotate_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -22738,24 +22738,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The syslog-ng-core package provides the syslog-ng daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22782,14 +22772,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_syslogng_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -22878,24 +22878,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  The
│ │ │ │                  <html:code>syslog-ng</html:code>
│ │ │ │                  service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -22926,14 +22916,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_syslogng_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -24276,24 +24276,14 @@
│ │ │ │                  <xccdf-1.2:rationale>
│ │ │ │                    The
│ │ │ │                    <html:code>ip6tables</html:code>
│ │ │ │                    service provides the system's host-based firewalling
│ │ │ │  capability for IPv6 and ICMPv6.
│ │ │ │                  </xccdf-1.2:rationale>
│ │ │ │                  <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ -enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ -
│ │ │ │ -class enable_ip6tables {
│ │ │ │ -  service {'ip6tables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -24330,14 +24320,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ip6tables_enabled</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ +enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ +
│ │ │ │ +class enable_ip6tables {
│ │ │ │ +  service {'ip6tables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ip6tables_enabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                  <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │ @@ -24482,24 +24482,14 @@
│ │ │ │                  <xccdf-1.2:rationale>
│ │ │ │                    The
│ │ │ │                    <html:code>iptables</html:code>
│ │ │ │                    service provides the system's host-based firewalling
│ │ │ │  capability for IPv4 and ICMP.
│ │ │ │                  </xccdf-1.2:rationale>
│ │ │ │                  <xccdf-1.2:platform idref="#package_iptables_and_service_disabled_firewalld_and_system_with_kernel"/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ -enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ -
│ │ │ │ -class enable_iptables {
│ │ │ │ -  service {'iptables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -24537,14 +24527,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_iptables_enabled</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ +enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ +
│ │ │ │ +class enable_iptables {
│ │ │ │ +  service {'iptables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_iptables_enabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                  <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │ @@ -34660,24 +34660,14 @@
│ │ │ │                  service can be enabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl enable ufw.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-002314</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000297-GPOS-00115</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The ufw service must be enabled and running in order for ufw to protect the system</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_ufw_and_system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ -enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ -
│ │ │ │ -class enable_ufw {
│ │ │ │ -  service {'ufw':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -34706,14 +34696,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ufw_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ +enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ +
│ │ │ │ +class enable_ufw {
│ │ │ │ +  service {'ufw':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ufw_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -48595,21 +48595,14 @@
│ │ │ │                <html:code>setroubleshoot-plugins</html:code>
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove setroubleshoot-plugins</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to
│ │ │ │  have running on a server.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-plugins
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-plugins {
│ │ │ │ -  package { 'setroubleshoot-plugins':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48640,14 +48633,21 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "setroubleshoot-plugins"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-plugins
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-plugins {
│ │ │ │ +  package { 'setroubleshoot-plugins':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_setroubleshoot-plugins_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -48661,21 +48661,14 @@
│ │ │ │                <html:code>setroubleshoot-server</html:code>
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove setroubleshoot-server</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to have
│ │ │ │  running on a server.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-server
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-server {
│ │ │ │ -  package { 'setroubleshoot-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48706,14 +48699,21 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "setroubleshoot-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-server
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-server {
│ │ │ │ +  package { 'setroubleshoot-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_setroubleshoot-server_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -48728,21 +48728,14 @@
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove setroubleshoot</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to
│ │ │ │  have running on a server, especially if
│ │ │ │  X Windows is removed or disabled.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot {
│ │ │ │ -  package { 'setroubleshoot':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48773,14 +48766,21 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "setroubleshoot"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot {
│ │ │ │ +  package { 'setroubleshoot':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_setroubleshoot_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_directory_groupowner_etc_selinux" severity="medium">
│ │ │ │              <xccdf-1.2:title>Verify Group Who Owns /etc/selinux Directory</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>
│ │ │ │ @@ -49791,24 +49791,14 @@
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The cron service allow periodic job execution, needed for almost all administrative tasks and services (software update, log rotating, etc.). Access to cron service should be restricted to administrative accounts only.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -49839,14 +49829,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_cron_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_cron_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -49933,24 +49933,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.14.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.9.1.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Due to its usage for maintenance and security-supporting tasks,
│ │ │ │  enabling the cron daemon is essential.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ -enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -49979,14 +49969,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ +enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_cron_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_cron_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -50090,21 +50090,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                allows clear text communications, and does not protect any
│ │ │ │  data transmission between client and server. Any confidential data can be
│ │ │ │  listened and no integrity checking is made.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │      name: inetutils-telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -50118,30 +50111,30 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_inetutils-telnetd_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_nis_removed" severity="low">
│ │ │ │              <xccdf-1.2:title>Uninstall the nis package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>The support for Yellowpages should not be installed unless it is required.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>NIS is the historical SUN service for central account management, more and more replaced by LDAP.
│ │ │ │  NIS does not support efficiently security constraints, ACL, etc. and should not be used.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │      name: nis
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -50152,29 +50145,29 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_nis_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_ntpdate_removed" severity="low">
│ │ │ │              <xccdf-1.2:title>Uninstall the ntpdate package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>ntpdate is a historical ntp synchronization client for unixes. It sould be uninstalled.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>ntpdate is an old not security-compliant ntp client. It should be replaced by modern ntp clients such as ntpd, able to use cryptographic mechanisms integrated in NTP.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │      name: ntpdate
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -50185,14 +50178,21 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_ntpdate_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_telnetd-ssl_removed" severity="high">
│ │ │ │              <xccdf-1.2:title>Uninstall the ssl compliant telnet server</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>
│ │ │ │ @@ -50291,21 +50291,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                , even with ssl support, should not be installed.
│ │ │ │  When remote shell is required, up-to-date ssh daemon can be used.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │      name: telnetd-ssl
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -50319,14 +50312,21 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_telnetd-ssl_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_telnetd_removed" severity="high">
│ │ │ │              <xccdf-1.2:title>Uninstall the telnet server</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>The telnet daemon should be uninstalled.</xccdf-1.2:description>
│ │ │ │ @@ -50422,21 +50422,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                allows clear text communications, and does not protect
│ │ │ │  any data transmission between client and server. Any confidential data
│ │ │ │  can be listened and no integrity checking is made.'
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │      name: telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -50450,14 +50443,21 @@
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_telnetd_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │          </xccdf-1.2:Group>
│ │ │ │          <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_dhcp">
│ │ │ │            <xccdf-1.2:title>DHCP</xccdf-1.2:title>
│ │ │ │ @@ -50748,21 +50748,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Removing the DHCP server ensures that it cannot be easily or
│ │ │ │  accidentally reactivated and disrupt network operation.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │      name: dhcp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -50778,35 +50771,35 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove dhcp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on dhcp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "dhcp"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_dhcp
│ │ │ │ +
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_dhcp_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │              <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_kea_removed" severity="medium">
│ │ │ │                <xccdf-1.2:title>Uninstall kea Package</xccdf-1.2:title>
│ │ │ │                <xccdf-1.2:description>If the system does not need to act as a DHCP server,
│ │ │ │  the kea package can be uninstalled.</xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Removing the DHCP server ensures that it cannot be easily or
│ │ │ │  accidentally reactivated and disrupt network operation.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_kea
│ │ │ │ -
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │      name: kea
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -50817,14 +50810,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove kea
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on kea. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "kea"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_kea_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_kea_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -50976,24 +50976,14 @@
│ │ │ │                package can be installed with the following command:
│ │ │ │                <html:pre>$ apt-get install postfix</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000139</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000046-GPOS-00022</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Emails can be used to notify designated personnel about important
│ │ │ │  system events such as failures or warnings.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ -name = "postfix"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ -
│ │ │ │ -class install_postfix {
│ │ │ │ -  package { 'postfix':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -51018,14 +51008,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "postfix"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ +name = "postfix"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ +
│ │ │ │ +class install_postfix {
│ │ │ │ +  package { 'postfix':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_postfix_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_postfix_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -51110,21 +51110,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000095-GPOS-00049</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The sendmail software was not developed with security in mind and
│ │ │ │  its design prevents it from being effectively contained by SELinux.  Postfix
│ │ │ │  should be used instead.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │ @@ -51161,14 +51154,21 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "sendmail"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_sendmail_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -51624,24 +51624,14 @@
│ │ │ │  
│ │ │ │  The
│ │ │ │                    <html:code>netfs</html:code>
│ │ │ │                    service can be disabled with the following command:
│ │ │ │                    <html:pre>$ sudo systemctl mask --now netfs.service</html:pre>
│ │ │ │                  </xccdf-1.2:description>
│ │ │ │                  <xccdf-1.2:rationale/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ -masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ -
│ │ │ │ -class disable_netfs {
│ │ │ │ -  service {'netfs':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -51709,14 +51699,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_netfs_disabled
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ +masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ +
│ │ │ │ +class disable_netfs {
│ │ │ │ +  service {'netfs':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_netfs_disabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │              </xccdf-1.2:Group>
│ │ │ │            </xccdf-1.2:Group>
│ │ │ │            <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_nfs_configuring_servers">
│ │ │ │ @@ -51873,24 +51873,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6.1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Time synchronization is important to support time sensitive security mechanisms like
│ │ │ │  Kerberos and also ensures log files have consistent time records across the enterprise,
│ │ │ │  which aids in forensic investigations.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - PCI-DSSv4-10.6
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │ @@ -51921,14 +51911,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_chrony_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_chrony_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -51964,24 +51964,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Time synchronization (using NTP) is required by almost all network and administrative tasks (syslog, cryptographic based services (authentication, etc.), etc.). Ntpd is regulary maintained and updated, supporting security features such as RFC 5906.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │ @@ -52010,14 +52000,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_ntp_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_ntp_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -52037,24 +52037,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-004923</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">0988</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1405</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If chrony is in use on the system proper configuration is vital to ensuring time
│ │ │ │  synchronization is working properly.</xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_chrony"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ -enabled = ["chrony"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chrony
│ │ │ │ -
│ │ │ │ -class enable_chrony {
│ │ │ │ -  service {'chrony':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -52083,14 +52073,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_chronyd_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ +enabled = ["chrony"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chrony
│ │ │ │ +
│ │ │ │ +class enable_chrony {
│ │ │ │ +  service {'chrony':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_chronyd_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -52255,24 +52255,14 @@
│ │ │ │                <html:br/>
│ │ │ │                The NTP daemon offers all of the functionality of
│ │ │ │                <html:code>ntpdate</html:code>
│ │ │ │                , which is now
│ │ │ │  deprecated.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_ntp"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ -enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-8(1)(a)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │ @@ -52311,14 +52301,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ +enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ntp_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -52840,21 +52840,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  Removing the
│ │ │ │                  <html:code>xinetd</html:code>
│ │ │ │                  package decreases the risk of the
│ │ │ │  xinetd service's accidental (or intentional) activation.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │ @@ -52895,14 +52888,21 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "xinetd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_xinetd_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -52935,21 +52935,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The NIS service is inherently an insecure system that has been vulnerable
│ │ │ │  to DOS attacks, buffer overflows and has poor authentication for querying
│ │ │ │  NIS maps. NIS generally has been replaced by such protocols as Lightweight
│ │ │ │  Directory Access Protocol (LDAP). It is recommended that the service be
│ │ │ │  removed.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │      name: ypbind-mt
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │ @@ -52962,14 +52955,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ypbind-mt
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypbind-mt. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypbind-mt"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_ypbind_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -53090,21 +53090,14 @@
│ │ │ │  remote session.
│ │ │ │  
│ │ │ │  Removing the
│ │ │ │                  <html:code>ypserv</html:code>
│ │ │ │                  package decreases the risk of the accidental
│ │ │ │  (or intentional) activation of NIS or NIS+ services.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │      name: ypserv
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53122,14 +53115,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ypserv
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypserv. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypserv"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_ypserv_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -53257,21 +53257,14 @@
│ │ │ │  authentication. If a privileged user were to login using this service, the privileged user password
│ │ │ │  could be compromised. The
│ │ │ │                  <html:code>rsh-server</html:code>
│ │ │ │                  package provides several obsolete and insecure
│ │ │ │  network services. Removing it decreases the risk of those services' accidental (or intentional)
│ │ │ │  activation.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │      name: rsh-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53288,14 +53281,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove rsh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh-server"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_rsh-server_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -53338,21 +53338,14 @@
│ │ │ │                  <html:code>rsh</html:code>
│ │ │ │                  ,
│ │ │ │                  <html:code>rcp</html:code>
│ │ │ │                  , and
│ │ │ │                  <html:code>rlogin</html:code>
│ │ │ │                  .
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │      name: rsh
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │ @@ -53366,14 +53359,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove rsh
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_rsh_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_rsh_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -53529,21 +53529,14 @@
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  The talk software presents a security risk as it uses unencrypted protocols
│ │ │ │  for communications. Removing the
│ │ │ │                  <html:code>talk-server</html:code>
│ │ │ │                  package decreases the
│ │ │ │  risk of the accidental (or intentional) activation of talk services.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │      name: talk-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │ @@ -53556,14 +53549,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove talk-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk-server"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_talk-server_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -53593,21 +53593,14 @@
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  The talk software presents a security risk as it uses unencrypted protocols
│ │ │ │  for communications. Removing the
│ │ │ │                  <html:code>talk</html:code>
│ │ │ │                  package decreases the
│ │ │ │  risk of the accidental (or intentional) activation of talk client program.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │      name: talk
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │ @@ -53620,14 +53613,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove talk
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_talk_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_talk_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -53761,21 +53761,14 @@
│ │ │ │  privileged user password could be compromised.
│ │ │ │                  <html:br/>
│ │ │ │                  Removing the
│ │ │ │                  <html:code>telnet-server</html:code>
│ │ │ │                  package decreases the risk of the
│ │ │ │  telnet service's accidental (or intentional) activation.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │      name: telnet-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53792,14 +53785,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnet-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet-server"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_telnet-server_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -53829,21 +53829,14 @@
│ │ │ │                  protocol is insecure and unencrypted. The use
│ │ │ │  of an unencrypted transmission medium could allow an unauthorized user
│ │ │ │  to steal credentials. The
│ │ │ │                  <html:code>ssh</html:code>
│ │ │ │                  package provides an
│ │ │ │  encrypted session and stronger security and is included in Debian 12.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │      name: telnet
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │ @@ -53857,14 +53850,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnet
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_telnet_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_telnet_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -53989,21 +53989,14 @@
│ │ │ │                  <html:br/>
│ │ │ │                  <html:br/>
│ │ │ │                  If TFTP is required for operational support (such as transmission of router
│ │ │ │  configurations), its use must be documented with the Information Systems
│ │ │ │  Securty Manager (ISSM), restricted to only authorized personnel, and have
│ │ │ │  access control rules established.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │      name: tftp-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -54019,14 +54012,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove tftp-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp-server"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_tftp-server_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -54045,21 +54045,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000074-GPOS-00042</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>It is recommended that TFTP be removed, unless there is a specific need
│ │ │ │  for TFTP (such as a boot server). In that case, use extreme caution when configuring
│ │ │ │  the services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │      name: tftp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │ @@ -54072,14 +54065,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove tftp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_tftp_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_tftp_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -54110,21 +54110,14 @@
│ │ │ │                  <html:pre>$ apt-get remove snmp</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>If there is no need to run SNMP server software,
│ │ │ │  removing the package provides a safeguard against its
│ │ │ │  activation.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_net-snmp
│ │ │ │ -
│ │ │ │ -class remove_net-snmp {
│ │ │ │ -  package { 'net-snmp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure net-snmp is removed
│ │ │ │    package:
│ │ │ │      name: net-snmp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │ @@ -54137,14 +54130,21 @@
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove net-snmp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on net-snmp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "net-snmp"</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_net-snmp
│ │ │ │ +
│ │ │ │ +class remove_net-snmp {
│ │ │ │ +  package { 'net-snmp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_net-snmp_removed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -54156,24 +54156,14 @@
│ │ │ │                  service can be disabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl mask --now snmpd.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1311</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Running SNMP software provides a network-based avenue of attack, and
│ │ │ │  should be disabled if not needed.</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_snmpd_and_system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ -masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ -
│ │ │ │ -class disable_snmpd {
│ │ │ │ -  service {'snmpd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -54244,14 +54234,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_snmpd_disabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ +masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ +
│ │ │ │ +class disable_snmpd {
│ │ │ │ +  service {'snmpd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_snmpd_disabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -54517,24 +54517,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000423-GPOS-00187</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000424-GPOS-00188</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000425-GPOS-00189</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000426-GPOS-00190</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ -name = "openssh-server"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ -
│ │ │ │ -class install_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -54561,14 +54551,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ +name = "openssh-server"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ +
│ │ │ │ +class install_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_openssh-server_installed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -54582,21 +54582,14 @@
│ │ │ │                <html:code>openssh-server</html:code>
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove openssh-server</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ -
│ │ │ │ -class remove_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -54627,14 +54620,21 @@
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ +
│ │ │ │ +class remove_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_openssh-server_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -54645,24 +54645,14 @@
│ │ │ │  This is unusual, as SSH is a common method for encrypted and authenticated
│ │ │ │  remote access.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-3(6)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">IA-2(4)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000185-CTR-000490</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000141-CTR-000315</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ -masked = ["sshd"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ -
│ │ │ │ -class disable_sshd {
│ │ │ │ -  service {'sshd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-3(6)
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │ @@ -54739,14 +54729,24 @@
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_sshd_disabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ +masked = ["sshd"]</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ +
│ │ │ │ +class disable_sshd {
│ │ │ │ +  service {'sshd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_sshd_disabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -55512,22 +55512,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If an unauthorized user obtains the private SSH host key file, the host could be
│ │ │ │  impersonated.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_private_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -55605,14 +55597,22 @@
│ │ │ │          echo "Key-like file '$keyfile' is owned by an unexpected user:group combination"
│ │ │ │      fi
│ │ │ │  done
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-file_permissions_sshd_private_key:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -55684,22 +55684,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If a public host key file is modified by an unauthorized user, the SSH service
│ │ │ │  may be compromised.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -55767,14 +55759,22 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-file_permissions_sshd_pub_key:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -61646,24 +61646,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000392-GPOS-00172</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000475-GPOS-00220</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R33</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R73</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The auditd service is an access monitoring and accounting daemon, watching system calls to audit any access, in comparison with potential local access control policy such as SELinux policy.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-7(a)
│ │ │ │    - NIST-800-53-AU-12(2)
│ │ │ │    - NIST-800-53-AU-14
│ │ │ │ @@ -61708,14 +61698,24 @@
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │  fi</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_audit_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_audit_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -61925,24 +61925,14 @@
│ │ │ │              <html:br/>
│ │ │ │              Additionally, a properly configured audit subsystem ensures that actions of
│ │ │ │  individual system users can be uniquely traced to those users so they
│ │ │ │  can be held accountable for their actions.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_audit"/>
│ │ │ │            <xccdf-1.2:requires idref="xccdf_org.ssgproject.content_rule_package_audit_installed"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ -enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.4.1.1
│ │ │ │    - NIST-800-171-3.3.1
│ │ │ │    - NIST-800-171-3.3.2
│ │ │ │ @@ -62003,14 +61993,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ +enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_auditd_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -140539,4913 +140539,4913 @@
│ │ │ │        <ocil:generator>
│ │ │ │          <ocil:product_name>build_shorthand.py from SCAP Security Guide</ocil:product_name>
│ │ │ │          <ocil:product_version>ssg: 0.1.76</ocil:product_version>
│ │ │ │          <ocil:schema_version>2.0</ocil:schema_version>
│ │ │ │          <ocil:timestamp>2025-03-01T08:08:00</ocil:timestamp>
│ │ │ │        </ocil:generator>
│ │ │ │        <ocil:questionnaires>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_periodic_checking_systemd_timer_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Systemd Timer Execution of AIDE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/crypttab File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Accepting ICMP Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_sshd_config_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Owner on SSH Server config file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set number of Password Hashing Rounds - password-auth</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Use TCP RFC 1337 on IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_lcredit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Lowercase Characters</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_lcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_env_reset_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure sudo Runs In A Minimal Environment - sudo env_reset</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_env_reset_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_strong_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Strong Stack Protector</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall ypserv Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_system_commands_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that system commands files are group owned by root or a system account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_ypserv_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_telnet_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove telnet Clients</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_network_listening_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Postfix Network Listening</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_telnet_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_network_listening_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_systemmap_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns System.map Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_root_owned_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All World-Writable Directories Are Owned by root User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_paranoid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow kernel profiling by unprivileged users</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden memory copies between kernel and userspace</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Auto Configuration on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify the UEFI Boot Loader grub.cfg Group Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shells_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /etc/shells File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub2/user.cfg Group Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_sysrq_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow magic SysRq key</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_sysrq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_page_alloc_shuffle_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable randomization of the page allocator</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall Sendmail Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_sendmail_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_fifos_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on FIFOs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_opasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/security/opasswd</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_tmout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Interactive Session Timeout</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_tmout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /var/tmp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Access to Network bpf() Syscall From Unprivileged Processes</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_forward_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for IP Forwarding on IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the cron service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable cron Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sebool_polyinstantiation_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure the polyinstantiation_enabled SELinux Boolean</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable PAM</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable different security models</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall setroubleshoot-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Use TCP Syncookies on Network Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable cron Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_slub_debug_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SLUB/SLAB allocator poisoning</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_slub_debug_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_on_data_corruption_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Trigger a kernel BUG when data corruption is detected</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_user_dot_group_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>User Initialization Files Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_kmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - kmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/shadow</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_dedicated_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure a dedicated group owns sudo</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_dedicated_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/sestatus.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minclass_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Different Categories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minclass_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All User Files and Directories In The Home Directory Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_vm_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent applications from mapping low portion of virtual memory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shells_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Who Owns /etc/shells File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_vmap_stack_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>User a virtually-mapped stack</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_vmap_stack_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/user.cfg Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_wx_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Warn on W+X mappings found at boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_wx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_sshd_config_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns SSH Server config file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_pti_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Page-Table Isolation (KPTI)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_pti_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_kea_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall kea Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_kea_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_modules_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable loading and unloading of kernel modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove NIS Client</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_ypbind_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_permissions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All User Files and Directories In The Home Directory Must Have Mode 0750 Or Less Permissive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/grub.cfg Group Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-timer_logrotate_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable logrotate Timer</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-timer_logrotate_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>zero-init everything passed by reference</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_sudo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - sudo</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_periodic_checking_systemd_timer_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Systemd Timer Execution of AIDE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_remember_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit Password Reuse</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nodev Option to Non-Root Local Partitions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_page_poison_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable page allocator poisoning</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_page_poison_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_permissions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All User Files and Directories In The Home Directory Must Have Mode 0750 Or Less Permissive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/selinux Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the cron service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All User Files and Directories In The Home Directory Must Have a Valid Owner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Generate some entropy during boot and runtime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall xinetd Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_xinetd_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/sudoers.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/crypttab File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_set_max_life_root_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Root Account Password Maximum Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_set_max_life_root_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_slub_debug_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SLUB/SLAB allocator poisoning</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_slub_debug_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall telnet-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_telnet-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_regular_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Regular files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_regular_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permission_user_init_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All User Initialization Files Have Mode 0740 Or Less Permissive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permission_user_init_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install pam_pwquality Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_pam_pwquality_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_bashrc_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Bash Umask is Set Correctly</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_boot_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_boot_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_talk_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall talk Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_talk_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Drop Gratuitious ARP frames on All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All User Files and Directories In The Home Directory Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Access to Kernel Message Buffer</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable hibernation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_opt_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /opt</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_opt_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_boot_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /boot Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_pid_max_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure maximum number of process identifiers</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_boot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_pid_max_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Emulate Privileged Access Never (PAN)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_systemmap_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns System.map Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install AIDE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/grub.cfg Group Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/ipsec.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/crypttab File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the ntp service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_log_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /var/log</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_log_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable poison of pages after freeing</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ocredit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Special Characters</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ocredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_deny_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Lock Accounts After Failed Password Attempts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/user.cfg User Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall DHCP Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_dhcp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_boot_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /boot Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_boot_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit sampling frequency of the Perf system</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_usr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /usr Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_usr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_modify_ldt_syscall_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the LDT (local descriptor table)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_ungroupowned_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All Files Are Owned by a Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/tmp Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_ungroupowned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_uefi_password_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set the UEFI Boot Loader Password</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_uefi_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Kernel Parameter to Increase Local Port Range</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_periodic_cron_checking_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Periodic Execution of AIDE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_periodic_cron_checking_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_mds_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Microarchitectural Data Sampling mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_mds_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /tmp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-security_patches_up_to_date_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Software Patches Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/user.cfg Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-security_patches_up_to_date_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/user.cfg User Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_verify_acls_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure AIDE to Verify Access Control Lists (ACLs)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_verify_acls_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_files_unowned_by_user_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All Files Are Owned by a User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_files_unowned_by_user_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_randstruct_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize layout of sensitive kernel structures</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_systemmap_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns System.map Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_config_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server config file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_ignore_dot_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure sudo Ignores Commands In Current Dir - sudo ignore_dot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_ignore_dot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_sched_stack_end_check_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Detect stack corruption on calls to schedule()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall setroubleshoot-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Accepting ICMP Redirects for All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_chronyd_or_ntpd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_telnet_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove telnet Clients</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_telnet_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall setroubleshoot-plugins Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_verify_ext_attributes_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure AIDE to Verify Extended Attributes</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_verify_ext_attributes_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Stack Protector buffer overlow detection</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install AIDE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/tmp Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /var</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_home_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /home</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_home_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ocredit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Special Characters</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minlen_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Length</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ocredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minlen_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_interval_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Interval For Counting Failed Password Attempts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_kea_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall kea Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_kea_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub2/user.cfg Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_ignore_dot_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure sudo Ignores Commands In Current Dir - sudo ignore_dot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_ignore_dot_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /var/tmp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/nftables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/iptables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-apparmor_configured_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure AppArmor is Active and Configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_sudo_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install sudo Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-apparmor_configured_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_sudo_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_kmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - kmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/user.cfg Group Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install pam_pwquality Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_pam_pwquality_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Auto Configuration on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall tftp-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_tftp-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Secure ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_sudo_log_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to perform maintenance activities</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_sudo_log_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sebool_polyinstantiation_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure the polyinstantiation_enabled SELinux Boolean</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /tmp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Ignore Bogus ICMP Error Responses on IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_hardened_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden slab freelist metadata</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Kernel Parameter to Increase Local Port Range</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify the UEFI Boot Loader grub.cfg User Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Auto Configuration on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Access to Network bpf() Syscall From Unprivileged Processes</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_refcount_full_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Perform full reference count validation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_refcount_full_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden memory copies between kernel and userspace</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_none_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable vsyscall mapping</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_scan_notification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Notification of Post-AIDE Scan Details</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_scan_notification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/chrony.keys File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Emulate Privileged Access Never (PAN)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_wx_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Warn on W+X mappings found at boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_wx_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_pti_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Page-Table Isolation (KPTI)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_pti_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/sudoers File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_on_data_corruption_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Trigger a kernel BUG when data corruption is detected</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_none_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable vsyscall mapping</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_sudo_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install sudo Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_sudo_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_regular_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Regular files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_regular_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shells_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/shells File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify the UEFI Boot Loader grub.cfg Group Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_merge_default_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow merge of slab caches</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_merge_default_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_forward_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for IP Forwarding on IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_stackleak_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Poison kernel stack before returning from syscalls</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/grub.cfg Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall talk-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /tmp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_talk-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_opt_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /opt Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_opt_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Use TCP RFC 1337 on IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/passwd</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_fallback_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do not allow usercopy whitelist violations to fallback to object size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsh_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall rsh Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsh_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_refcount_full_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Perform full reference count validation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_insmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - insmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_refcount_full_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_tmout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Interactive Session Timeout</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_tmout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_dedicated_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure a dedicated group owns sudo</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_dedicated_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_strict_kernel_rwx_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Make the kernel text and rodata read-only</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Access to Kernel Message Buffer</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_paranoid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow kernel profiling by unprivileged users</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit CPU consumption of the Perf system</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/crypttab File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-security_patches_up_to_date_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Software Patches Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-security_patches_up_to_date_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Accepting ICMP Redirects for All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Lockout Time for Failed Password Attempts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_modprobe_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - modprobe</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/ipsec.secrets File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /var</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_sudo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - sudo</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_lcredit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Lowercase Characters</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_lcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/sestatus.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the ntp service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall tftp-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_tftp-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure TLS for rsyslog remote logging</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Ignore Bogus ICMP Error Responses on IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_stackleak_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Poison kernel stack before returning from syscalls</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv6 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_verify_ext_attributes_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure AIDE to Verify Extended Attributes</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_verify_ext_attributes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_uefi_password_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set the UEFI Boot Loader Password</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify the UEFI Boot Loader grub.cfg Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_uefi_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_sshd_config_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns SSH Server config file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall talk-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_talk-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_modules_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable loading and unloading of kernel modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Auto Configuration on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-timer_logrotate_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable logrotate Timer</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/gshadow</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-timer_logrotate_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_randstruct_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize layout of sensitive kernel structures</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable poison of pages after freeing</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable vsyscall emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_strong_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Strong Stack Protector</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_verify_acls_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure AIDE to Verify Access Control Lists (ACLs)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub2/user.cfg User Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_verify_acls_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_fallback_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do not allow usercopy whitelist violations to fallback to object size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_system_commands_root_owned_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that system commands directories have root ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_log_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /var/log</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_system_commands_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_log_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall rsh-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_umask_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure sudo umask is appropriate - sudo umask</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_umask_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_interval_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Interval For Counting Failed Password Attempts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Lockout Time for Failed Password Attempts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_password_hashing_algorithm_logindefs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Hashing Algorithm in /etc/login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Kernel Parameter for Accepting Secure Redirects By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_user_dot_user_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>User Initialization Files Must Be Owned By the Primary User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Use TCP Syncookies on Network Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_log_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /var/log</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_log_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_password_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Boot Loader Password in grub2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/sudoers File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ucredit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Uppercase Characters</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_page_poison_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable page allocator poisoning</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ucredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_page_poison_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/passwd</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /var/tmp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_vm_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent applications from mapping low portion of virtual memory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/crypttab File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/selinux Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minclass_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Different Categories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shells_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /etc/shells File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minclass_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_core_bpf_jit_harden_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden the operation of the BPF just-in-time compiler</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_talk_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall talk Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_talk_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_opt_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /opt</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_opt_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv4 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_system_commands_group_root_owned_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that system commands directories have root as a group owner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure rsyslog-gnutls is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Generate some entropy during boot and runtime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the pam_apparmor Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_pam_apparmor_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict usage of ptrace to descendant processes</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_retry_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Authentication Retry Prompts Permitted Per-Session</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_retry_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove NIS Client</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_ypbind_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_modify_ldt_syscall_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the LDT (local descriptor table)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/user.cfg Group Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_deny_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Lock Accounts After Failed Password Attempts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/iptables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_cacert_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure CA certificate for rsyslog remote logging</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Yama support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_periodic_cron_checking_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Periodic Execution of AIDE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_periodic_cron_checking_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_bashrc_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Bash Umask is Set Correctly</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_boot_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_boot_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_sudo_log_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to perform maintenance activities</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_sudo_log_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub2/user.cfg Group Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_rmmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - rmmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nodev Option to Non-Root Local Partitions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_core_bpf_jit_harden_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden the operation of the BPF just-in-time compiler</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force initialization of variables containing userspace addresses</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_user_dot_group_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>User Initialization Files Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall ypserv Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_ypserv_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-logind_session_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Logind to terminate idle sessions after certain time of inactivity</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-logind_session_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit sampling frequency of the Perf system</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_log_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /var/log</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_log_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Yama support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_merge_default_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow merge of slab caches</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_strict_kernel_rwx_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Make the kernel text and rodata read-only</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_merge_default_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify the UEFI Boot Loader grub.cfg Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_hardened_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden slab freelist metadata</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_network_listening_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Postfix Network Listening</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_systemmap_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns System.map Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_network_listening_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_home_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /home</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure rsyslog-gnutls is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_home_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_config_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server config file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/ipsec.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Accepting ICMP Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall rsh-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_usr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /usr Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_usr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_strict_module_rwx_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Make the module text and rodata read-only</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_user_dot_user_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>User Initialization Files Must Be Owned By the Primary User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /var</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ucredit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Uppercase Characters</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ucredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All User Files and Directories In The Home Directory Must Have a Valid Owner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_srv_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /srv</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_srv_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Kernel Parameter for Accepting Secure Redirects By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure TLS for rsyslog remote logging</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable hibernation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_password_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Boot Loader Password in grub2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_cacert_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure CA certificate for rsyslog remote logging</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force initialization of variables containing userspace addresses</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/grub.cfg User Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_umask_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure sudo umask is appropriate - sudo umask</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_umask_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_scan_notification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Notification of Post-AIDE Scan Details</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_scan_notification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/sudoers File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall xinetd Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-apparmor_configured_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure AppArmor is Active and Configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_xinetd_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-apparmor_configured_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shells_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/shells File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_system_commands_group_root_owned_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that system commands directories have root as a group owner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub2/user.cfg User Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Drop Gratuitious ARP frames on All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_dcredit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Digit Characters</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_dcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_boot_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_boot_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_opasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/security/opasswd</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_retry_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Authentication Retry Prompts Permitted Per-Session</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_retry_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_password_hashing_algorithm_logindefs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Hashing Algorithm in /etc/login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_rmmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - rmmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_sshd_config_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Owner on SSH Server config file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_boot_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_boot_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/gshadow</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/ipsec.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_strict_module_rwx_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Make the module text and rodata read-only</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable vsyscall emulate execution only</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/sudoers File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/sysctl.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/crypttab File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>zero-init everything passed by reference</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the pam_apparmor Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_tftp_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove tftp Daemon</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_pam_apparmor_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_tftp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/nftables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify the UEFI Boot Loader grub.cfg User Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_vmap_stack_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>User a virtually-mapped stack</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_vmap_stack_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/chrony.keys File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_random_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize slab freelist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /tmp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /var/tmp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_mds_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Microarchitectural Data Sampling mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_mds_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /var</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_files_unowned_by_user_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All Files Are Owned by a User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_files_unowned_by_user_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_modprobe_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - modprobe</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_sched_stack_end_check_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Detect stack corruption on calls to schedule()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable different security models</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_pid_max_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure maximum number of process identifiers</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_system_commands_root_owned_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that system commands directories have root ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_pid_max_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_system_commands_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/shadow</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsh_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall rsh Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsh_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_random_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize slab freelist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable vsyscall emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall telnet-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_telnet-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_srv_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /srv</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_srv_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall Sendmail Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/grub.cfg User Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_sendmail_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/sudoers File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_remember_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit Password Reuse</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_chronyd_or_ntpd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable PAM</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall setroubleshoot-plugins Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_fortify_source_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden common str/mem functions against buffer overflows</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_fortify_source_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_dcredit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Digit Characters</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_dcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_insmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - insmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall DHCP Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_dhcp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minlen_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Length</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minlen_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_home_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /home</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_set_max_life_root_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Root Account Password Maximum Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_home_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_set_max_life_root_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_root_owned_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All World-Writable Directories Are Owned by root User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_sysrq_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow magic SysRq key</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_sysrq_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_ungroupowned_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All Files Are Owned by a Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_ungroupowned_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable vsyscall emulate execution only</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit CPU consumption of the Perf system</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_fortify_source_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden common str/mem functions against buffer overflows</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_fortify_source_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict usage of ptrace to descendant processes</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_tftp_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove tftp Daemon</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shells_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Who Owns /etc/shells File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_tftp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Secure ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/grub.cfg Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub2/user.cfg Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_system_commands_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that system commands files are group owned by root or a system account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set number of Password Hashing Rounds - password-auth</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_opt_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /opt Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_opt_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permission_user_init_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All User Initialization Files Have Mode 0740 Or Less Permissive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permission_user_init_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_page_alloc_shuffle_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable randomization of the page allocator</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-logind_session_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Logind to terminate idle sessions after certain time of inactivity</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-logind_session_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_env_reset_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure sudo Runs In A Minimal Environment - sudo env_reset</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_fifos_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on FIFOs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_env_reset_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_home_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /home</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_home_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/sudoers File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │        </ocil:questionnaires>
│ │ │ │        <ocil:test_actions>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1" question_ref="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_lcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_env_reset_action:testaction:1" question_ref="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_ypserv_removed_action:testaction:1" question_ref="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1" question_ref="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_telnet_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_network_listening_disabled_action:testaction:1" question_ref="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_sysrq_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_sendmail_removed_action:testaction:1" question_ref="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_tmout_action:testaction:1" question_ref="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1" question_ref="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slub_debug_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_dedicated_group_action:testaction:1" question_ref="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minclass_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_vmap_stack_action:testaction:1" question_ref="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_wx_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_pti_argument_action:testaction:1" question_ref="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_kea_removed_action:testaction:1" question_ref="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_ypbind_removed_action:testaction:1" question_ref="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_permissions_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-timer_logrotate_enabled_action:testaction:1" question_ref="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1" question_ref="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1" question_ref="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_poison_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_permissions_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_xinetd_removed_action:testaction:1" question_ref="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_set_max_life_root_action:testaction:1" question_ref="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slub_debug_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_telnet-server_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_regular_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permission_user_init_files_action:testaction:1" question_ref="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_pam_pwquality_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_talk_removed_action:testaction:1" question_ref="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_opt_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_boot_action:testaction:1" question_ref="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_pid_max_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1" question_ref="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ocredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_dhcp_removed_action:testaction:1" question_ref="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_boot_action:testaction:1" question_ref="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_usr_action:testaction:1" question_ref="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1" question_ref="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_ungroupowned_action:testaction:1" question_ref="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_uefi_password_action:testaction:1" question_ref="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_cron_checking_action:testaction:1" question_ref="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mds_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-security_patches_up_to_date_action:testaction:1" question_ref="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_acls_action:testaction:1" question_ref="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_files_unowned_by_user_action:testaction:1" question_ref="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_ignore_dot_action:testaction:1" question_ref="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1" question_ref="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_telnet_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_ext_attributes_action:testaction:1" question_ref="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ @@ -145453,4122 +145453,3879 @@
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ocredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minlen_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_kea_removed_action:testaction:1" question_ref="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_ignore_dot_action:testaction:1" question_ref="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-apparmor_configured_action:testaction:1" question_ref="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_sudo_installed_action:testaction:1" question_ref="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_pam_pwquality_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_tftp-server_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_sudo_log_events_action:testaction:1" question_ref="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1" question_ref="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_refcount_full_action:testaction:1" question_ref="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_scan_notification_action:testaction:1" question_ref="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1" question_ref="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_wx_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_pti_argument_action:testaction:1" question_ref="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_sudo_installed_action:testaction:1" question_ref="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_regular_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_merge_default_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_talk-server_removed_action:testaction:1" question_ref="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_opt_action:testaction:1" question_ref="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsh_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_refcount_full_action:testaction:1" question_ref="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_tmout_action:testaction:1" question_ref="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_dedicated_group_action:testaction:1" question_ref="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-security_patches_up_to_date_action:testaction:1" question_ref="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_lcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_tftp-server_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_ext_attributes_action:testaction:1" question_ref="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_uefi_password_action:testaction:1" question_ref="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_talk-server_removed_action:testaction:1" question_ref="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-timer_logrotate_enabled_action:testaction:1" question_ref="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_acls_action:testaction:1" question_ref="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_umask_action:testaction:1" question_ref="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1" question_ref="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_password_action:testaction:1" question_ref="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ucredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_poison_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minclass_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1" question_ref="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_talk_removed_action:testaction:1" question_ref="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_opt_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_pam_apparmor_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_retry_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_ypbind_removed_action:testaction:1" question_ref="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1" question_ref="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_cron_checking_action:testaction:1" question_ref="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_sudo_log_events_action:testaction:1" question_ref="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1" question_ref="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1" question_ref="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_ypserv_removed_action:testaction:1" question_ref="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-logind_session_timeout_action:testaction:1" question_ref="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_merge_default_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_network_listening_disabled_action:testaction:1" question_ref="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_usr_action:testaction:1" question_ref="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ucredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_srv_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_password_action:testaction:1" question_ref="ocil:ssg-grub2_password_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_umask_action:testaction:1" question_ref="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_scan_notification_action:testaction:1" question_ref="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_xinetd_removed_action:testaction:1" question_ref="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-apparmor_configured_action:testaction:1" question_ref="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_dcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_retry_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1" question_ref="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_pam_apparmor_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_tftp_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_vmap_stack_action:testaction:1" question_ref="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mds_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_files_unowned_by_user_action:testaction:1" question_ref="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1" question_ref="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_pid_max_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsh_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_telnet-server_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_srv_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_sendmail_removed_action:testaction:1" question_ref="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_fortify_source_action:testaction:1" question_ref="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_dcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_dhcp_removed_action:testaction:1" question_ref="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minlen_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_set_max_life_root_action:testaction:1" question_ref="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_sysrq_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_ungroupowned_action:testaction:1" question_ref="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_fortify_source_action:testaction:1" question_ref="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_tftp_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1" question_ref="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_opt_action:testaction:1" question_ref="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permission_user_init_files_action:testaction:1" question_ref="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-logind_session_timeout_action:testaction:1" question_ref="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_env_reset_action:testaction:1" question_ref="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │        </ocil:test_actions>
│ │ │ │        <ocil:questions>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_full_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │ -
│ │ │ │ -To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ -$ systemctl list-timers should display aidecheck.timer or similar
│ │ │ │ -that starts a service to run AIDE check.
│ │ │ │ -      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/crypttab,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/sestatus.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/crypttab
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /etc/sestatus.conf
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/crypttab does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 0
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_source_route
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -In this case, the SSH timeout occurs precisely when
│ │ │ │ -the ClientAliveInterval is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ -$ dpkg -l  snmp
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ +$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ +$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ +      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ -pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ -If properly configured, the output should be a list of usernames and/or
│ │ │ │ -groups allowed to log in to this system.
│ │ │ │ -      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_redirects
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/sshd_config,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chronyd service:
│ │ │ │ +$ sudo systemctl is-active chronyd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that Debian 12 does not disable SELinux.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo getenforce
│ │ │ │ -Enforcing
│ │ │ │ --OR-
│ │ │ │ -Permissive
│ │ │ │ -      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ +$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -action_mail_acct = 
│ │ │ │ -      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the number of rounds for the password hashing algorithm is configured, run the following command:
│ │ │ │ -$ sudo grep rounds /etc/pam.d/common-password
│ │ │ │ -The output should show the following match:
│ │ │ │ - 
│ │ │ │ -password [sucess=1 default=ignore] pam_unix.so sha512 rounds=
│ │ │ │ -      Is it the case that rounds is not set to &lt;sub idref="var_password_pam_unix_rounds" /&gt; or is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ -Run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.send_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.send_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ -      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/selinux,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/selinux
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/selinux does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │ -
│ │ │ │ -Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +chown system call, run the following command:
│ │ │ │ +$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ grep -i pass_min_days /etc/login.defs
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.tcp_rfc1337 kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.tcp_rfc1337
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -PASS_MIN_DAYS 
│ │ │ │ -      Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one lower-case character.
│ │ │ │  
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +Check the value for "lcredit" with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │ +$ sudo grep lcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +/etc/security/pwquality.conf:lcredit = -1
│ │ │ │ +      Is it the case that the value of "lcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STACKPROTECTOR_STRONG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spectre_v2=on, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if env_reset has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\benv_reset\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that env_reset is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmod system call, run the following command:
│ │ │ │ -$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the ypserv package is installed:
│ │ │ │ -$ dpkg -l  ypserv
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>The telnet package can be removed with the following command:  $ apt-get remove telnet
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ -$ grep all_squash /etc/exports
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.router_solicitations kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.router_solicitations
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories are group-owned by "root", or a required system account, with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin ! -group root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are returned and is not group-owned by a required system account?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmap /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +/usr/sbin
│ │ │ │ +For each of these directories, run the following command to find files
│ │ │ │ +not owned by root:
│ │ │ │ +$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ +      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /home
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +          <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ +openssh-server with following command:
│ │ │ │ +$ rpm -qi openssh-server | grep Version
│ │ │ │ +Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ -          <ocil:question_text>The following command will discover and print world-writable directories that
│ │ │ │ -are not owned by root. Run it once for each local partition PART:
│ │ │ │ -$ sudo find PART -xdev -type d -perm -0002 -uid +0 -print
│ │ │ │ -      Is it the case that there are world-writable directories not owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.perf_event_paranoid kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.perf_event_paranoid
│ │ │ │ -2.
│ │ │ │ +$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.autoconf kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.autoconf
│ │ │ │ -0.
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ -          <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ -be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ -second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ -all appear in /var/log. To see the permissions of a given log
│ │ │ │ -file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -The permissions should be 640, or more restrictive.
│ │ │ │ -      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure postfix accepts mail messages from only the local system:
│ │ │ │ +$ grep inet_interfaces /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shells,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ +      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/System.map*,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/shells
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/shells does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +$ ls -lL /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/System.map* does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.sysrq kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.sysrq
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_redirects
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include page_alloc.shuffle=1, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*page_alloc.shuffle=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that randomization of the page allocator is not enabled in the kernel?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ -$ uname -m
│ │ │ │ -The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ -If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ -Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ -$ lscpu | grep "CPU op-mode"
│ │ │ │ -If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ -      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_HARDENED_USERCOPY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.kptr_restrict
│ │ │ │ -The output of the command should indicate either:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ -The output of the command should not indicate:
│ │ │ │ -kernel.kptr_restrict = 0
│ │ │ │ -
│ │ │ │ -The preferable way how to assure the runtime compliance is to have
│ │ │ │ -correct persistent configuration, and rebooting the system.
│ │ │ │ -
│ │ │ │ -The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ -assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ -Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ -$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ -The command should not find any assignments other than:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ -
│ │ │ │ -Conflicting assignments are not allowed.
│ │ │ │ -      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_fifos kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_fifos
│ │ │ │ -2.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -settimeofday system call, run the following command:
│ │ │ │ -$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/security/opasswd)'
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ --w /etc/security/opasswd -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +If the system is configured to disable the
│ │ │ │ +ipv6 kernel module, it will contain a line
│ │ │ │ +of the form:
│ │ │ │ +options ipv6 disable=1
│ │ │ │ +Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ +deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ +kernel module (which other parts of the system expect to be present), but
│ │ │ │ +otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ +lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ +/etc/modprobe.conf:
│ │ │ │ +$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /var/tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ -    . . . /var/tmp . . . noexec . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/grub2/grub.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub2/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/grub2/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub2/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.ip_forward kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.ip_forward
│ │ │ │ -0.
│ │ │ │ -The ability to forward packets is only appropriate for routers.
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 limits the number of concurrent sessions to
│ │ │ │ +"" for all
│ │ │ │ +accounts and/or account types with the following command:
│ │ │ │ +$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ +/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ +This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ +      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ +than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ +is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ +operational requirement for all domains that have the "maxlogins" item
│ │ │ │ +assigned'?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ -$ dpkg -l  cron
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the sendmail package is installed:
│ │ │ │ +$ dpkg -l  sendmail
│ │ │ │        Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ +$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ +If properly configured, output should be:
│ │ │ │ +MaxAuthTries 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │  $ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ -
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords. Remove any instances of the nullok option to
│ │ │ │ -prevent logins with empty passwords.
│ │ │ │ -      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 
│ │ │ │ +For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ +the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ +functionality completely.
│ │ │ │ +If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ +ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ -$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ -If the plugin is active, the output will show yes.
│ │ │ │ -      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure the TMOUT value is configured for all users
│ │ │ │ +on the system:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep TMOUT /etc/profile /etc/profile.d/*.sh
│ │ │ │ +
│ │ │ │ +The output should return the following:
│ │ │ │ +TMOUT=
│ │ │ │ +      Is it the case that value of TMOUT is not less than or equal to expected setting?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/sudoers.d,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sudoers.d
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the setroubleshoot-server package is installed:
│ │ │ │ -$ dpkg -l  setroubleshoot-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep shutdown
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.unprivileged_bpf_disabled kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.unprivileged_bpf_disabled
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ --a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │  cron service:
│ │ │ │  $ sudo systemctl is-active cron
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slub_debug=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slub_debug=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SLUB/SLAB poisoning is not enabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the local initialization files of all local interactive users are group-
│ │ │ │ -owned by the appropriate user, inspect the primary group of the respective
│ │ │ │ -users in /etc/passwd and verify all initialization files under the
│ │ │ │ -respective users home directory. Check the group owner of all local interactive users
│ │ │ │ -initialization files.
│ │ │ │ -      Is it the case that they are not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "kmod" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep kmod
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/usr/bin/kmod -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-kmod
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chmod system call, run the following command:
│ │ │ │ -$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ipsec.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.d
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd with the following command:
│ │ │ │ -
│ │ │ │ -$  sudo auditctl -l | grep -E '(/etc/shadow)'
│ │ │ │ -
│ │ │ │ --w /etc/shadow -p wa -k identity
│ │ │ │ -      Is it the case that command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +rsyslog service:
│ │ │ │ +$ sudo systemctl is-active rsyslog
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 disables storing core dumps for all users by issuing the following command:
│ │ │ │  
│ │ │ │ -space_left_action = 
│ │ │ │ +$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │  
│ │ │ │ -If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +Storage=none
│ │ │ │ +      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ -every  records, run the following command:
│ │ │ │ -$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -freq = 
│ │ │ │ -      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to get the current configured value for polyinstantiation_enabled
│ │ │ │ +SELinux boolean:
│ │ │ │ +$ getsebool polyinstantiation_enabled
│ │ │ │ +The expected cofiguration is .
│ │ │ │ +"on" means true, and "off" means false
│ │ │ │ +      Is it the case that polyinstantiation_enabled is not set as expected?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_defrtr
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/group" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/group)'
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ --w /etc/group -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ +      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.max_addresses kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.max_addresses
│ │ │ │ +$ sysctl kernel.panic_on_oops
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -write_logs = yes
│ │ │ │ -      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.tcp_syncookies kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.tcp_syncookies
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -drwxr-xr-x
│ │ │ │ -      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │  
│ │ │ │ -To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +Check that Debian 12 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ +    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ -$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ -No output should be returned.
│ │ │ │ -      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_BUG_ON_DATA_CORRUPTION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ +lchown system call, run the following command:
│ │ │ │ +$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /var
│ │ │ │ -
│ │ │ │ -      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.send_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.send_redirects
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/selinux,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/selinux,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/selinux
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/selinux does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/selinux does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ -grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -The output should be similar to the following:
│ │ │ │ -$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -:FORWARD DROP [0:0
│ │ │ │ -      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that Debian 12 does not disable SELinux.
│ │ │ │ +
│ │ │ │ +Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo getenforce
│ │ │ │ +Enforcing
│ │ │ │ +-OR-
│ │ │ │ +Permissive
│ │ │ │ +      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/shells,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /usr/bin/sudo,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shells
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shells does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ -.
│ │ │ │ +$ ls -lL /usr/bin/sudo
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that /usr/bin/sudo does not have a group owner of &lt;sub idref="var_sudo_dedicated_group" /&gt;?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/grub/user.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/sestatus.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /boot/grub/user.cfg
│ │ │ │ +$ ls -l /etc/sestatus.conf
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_WX /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/sshd_config,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ipsec.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ipsec.d
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the value of the "minclass" option in "/etc/security/pwquality.conf" with the following command:
│ │ │ │ +
│ │ │ │ +$ grep minclass /etc/security/pwquality.conf
│ │ │ │ +
│ │ │ │ +minclass = 
│ │ │ │ +      Is it the case that the value of "minclass" is set to less than "&lt;sub idref="var_password_pam_minclass" /&gt;" or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the kea package is installed:
│ │ │ │ -$ dpkg -l  kea
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.modules_disabled kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.modules_disabled
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ +$ mountpoint /home
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_source_route
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ +grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ +The output should return the following:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +[xdmcp]
│ │ │ │ +Enable=false
│ │ │ │ +
│ │ │ │ +      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ -alter time via the /etc/localtime file, run the following
│ │ │ │ -command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_error_action = HALT
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +          <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ +$ sudo ls -l DBDIR/database_file_name
│ │ │ │ +      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include rng_core.default_quality=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should be
│ │ │ │ -$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ -      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "sudo" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep sudo
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/usr/bin/sudo -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-sudo
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ +$ dpkg -l  snmp
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the password reuse setting is compliant, run the following command:
│ │ │ │ -$ grep remember /etc/pam.d/common-password
│ │ │ │ -The output should show the following at the end of the line:
│ │ │ │ -remember=
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -In newer systems, the pam_pwhistory PAM module options can also be set in
│ │ │ │ -"/etc/security/pwhistory.conf" file. Use the following command to verify:
│ │ │ │ -$ grep remember /etc/security/pwhistory.conf
│ │ │ │ -remember = 
│ │ │ │ -
│ │ │ │ -The pam_pwhistory remember option must be configured only in one file.
│ │ │ │ -      Is it the case that the value of remember is not equal to or greater than the expected value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmep /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +          <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ +.rhosts inside a user home directory indicates the presence
│ │ │ │ +of an Rsh trust relationship.
│ │ │ │ +      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ +run the following command:
│ │ │ │ +cat /etc/securetty
│ │ │ │ +If any output is returned, this is a finding.
│ │ │ │ +      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all files and directories in interactive user home directory are
│ │ │ │ +group-owned by a group the user is a member of, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo ls -lLR /home/USER
│ │ │ │ +      Is it the case that the group ownership is incorrect?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.max_addresses kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.max_addresses
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log/audit
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the vm.mmap_min_addr kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl vm.mmap_min_addr
│ │ │ │ +65536.
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ +    $ grep CONFIG_VMAP_STACK /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ +$ grep relayhost /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │            <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │  in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include page_poison=1, then the parameter
│ │ │ │ +If they include pti=on, then the parameter
│ │ │ │  is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*page_poison=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ +$ sudo grep 'kernelopts.*pti=on.*' GRUBENV_FILE_LOCATION
│ │ │ │  Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that page allocator poisoning is not enabled?</ocil:question_text>
│ │ │ │ +      Is it the case that Kernel page-table isolation is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ -
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ip6tables service:
│ │ │ │ -$ sudo systemctl is-active ip6tables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how many logs the system is configured to retain after rotation:
│ │ │ │ -$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ -num_logs = 5
│ │ │ │ -      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ -          <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ -$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ -fixtext: |-
│ │ │ │ -Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/group" with the following command:
│ │ │ │  
│ │ │ │ -Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/group)'
│ │ │ │  
│ │ │ │ -$ chmod a+t [World-Writable Directory]
│ │ │ │ -srg_requirement:
│ │ │ │ -A sticky bit must be set on all Debian 12 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │ +-w /etc/group -p wa -k identity
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>The ypbind package can be removed with the following command:  $ apt-get remove ypbind
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │            <ocil:question_text>To verify all files and directories contained in interactive user home
│ │ │ │  directory, excluding local initialization files, have a mode of 0750,
│ │ │ │  run the following command:
│ │ │ │  $ sudo ls -lLR /home/USER
│ │ │ │        Is it the case that home directory files or folders have incorrect permissions?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/grub/grub.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_rtr_pref
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the logrotate timer: $ sudo systemctl is-active logrotate.timer If the timer is running, it should return the following: active
│ │ │ │ +      Is it the case that logrotate timer is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/selinux,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/selinux
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0755
│ │ │ │ -      Is it the case that /etc/selinux does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ -          <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │  
│ │ │ │ -$ dpkg -s openssh-server | grep Version
│ │ │ │ +Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │  
│ │ │ │ -Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be Protocol 2
│ │ │ │ -      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all files and directories in a local interactive user's
│ │ │ │ -home directory have a valid owner, run the following command:
│ │ │ │ -$ sudo ls -lLR /home/USER
│ │ │ │ -      Is it the case that the user ownership is incorrect?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ grep -i pass_min_days /etc/login.defs
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spectre_v2=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ +PASS_MIN_DAYS 
│ │ │ │ +      Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_LATENT_ENTROPY /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK_BYREF_ALL /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ +$ systemctl list-timers should display aidecheck.timer or similar
│ │ │ │ +that starts a service to run AIDE check.
│ │ │ │ +      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ -
│ │ │ │ -Find the location of the audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Find the group that owns audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to check the mode of the system audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ -
│ │ │ │ -Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ -
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the nodev option is configured for non-root local partitions, run the following command:
│ │ │ │ +$ sudo mount | grep '^/dev\S* on /\S' | grep --invert-match 'nodev'
│ │ │ │ +The output shows local non-root partitions mounted without the nodev option, and there should be no output at all.
│ │ │ │  
│ │ │ │ -If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ -      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +      Is it the case that some mounts appear among output lines?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -disk_error_action = 
│ │ │ │ +disk_full_action = 
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │        Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +          <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ +be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ +second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ +all appear in /var/log. To see the permissions of a given log
│ │ │ │ +file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +The permissions should be 640, or more restrictive.
│ │ │ │ +      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ +$ sudo grep logrotate /var/log/cron*
│ │ │ │ +If logrotate is configured properly, output should include references to
│ │ │ │ +/etc/cron.daily.
│ │ │ │ +      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo find /home -xdev -name .netrc
│ │ │ │ +      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ -          <ocil:question_text>Check whether the maximum time period for root account password is restricted to  days with the following commands:
│ │ │ │ -
│ │ │ │ -$ sudo awk -F: '$1 == "root" {print $1 " " $5}' /etc/shadow
│ │ │ │ -      Is it the case that any results are returned that are not associated with a system account?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ +$ grep all_squash /etc/exports
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep 
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │  
│ │ │ │ --w  -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the telnet-server package is installed:
│ │ │ │ -$ dpkg -l  telnet-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.panic_on_oops
│ │ │ │ -1.
│ │ │ │ +$ mountpoint /tmp
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that all user initialization files have a mode of 0740 or
│ │ │ │ -less permissive, run the following command:
│ │ │ │ -$ sudo find /home -type f -name '\.*' \( -perm -0002 -o -perm -0020 \)
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that they are not 0740 or more permissive?</ocil:question_text>
│ │ │ │ +      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_source_route
│ │ │ │ +$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep reboot
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -syslog-ng service:
│ │ │ │ -$ sudo systemctl is-active syslog-ng
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the talk package is installed:
│ │ │ │ -$ dpkg -l  talk
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ +$ dpkg -l  cron
│ │ │ │        Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.drop_gratuitous_arp kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.drop_gratuitous_arp
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all files and directories in interactive user home directory are
│ │ │ │ -group-owned by a group the user is a member of, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo ls -lLR /home/USER
│ │ │ │ -      Is it the case that the group ownership is incorrect?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +          <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root login over serial ports is permitted.
│ │ │ │ +      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │            <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │  If the system is configured to prevent the usage of the ipv6 on
│ │ │ │  network interfaces, it will contain a line of the form:
│ │ │ │  net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ @@ -149576,3566 +149333,3809 @@
│ │ │ │  This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │  system expect to be present), but otherwise keeps all network interfaces
│ │ │ │  from using IPv6. Run the following command to search for such lines in all
│ │ │ │  files in /etc/sysctl.d:
│ │ │ │  $ grep -r ipv6 /etc/sysctl.d
│ │ │ │        Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ -      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /boot with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ +to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ +rules:
│ │ │ │  
│ │ │ │ -$ mountpoint /boot
│ │ │ │ +FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ +for PARTITION in $PARTITIONS; do
│ │ │ │ +  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ +    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ +      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ +  done
│ │ │ │ +done
│ │ │ │  
│ │ │ │ -      Is it the case that "/boot is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +The output should not contain any WARNING.
│ │ │ │ +      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating INFO is returned, then the required value is set.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/System.map* does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +removexattr system call, run the following command:
│ │ │ │ +$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the xinetd package is installed:
│ │ │ │ +$ dpkg -l  xinetd
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ipsec.secrets,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.secrets
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ +      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that Debian 12 verifies correct operation of security functions.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo getenforce
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_rtr_pref
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/grub/grub.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ +$ uname -m
│ │ │ │ +The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ +If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ +Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ +$ lscpu | grep "CPU op-mode"
│ │ │ │ +If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ +      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include iommu=force, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/sudoers.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/sudoers.d
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0750
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have unix mode 0750?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/crypttab,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/crypttab,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/crypttab
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/crypttab does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/crypttab
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0600
│ │ │ │ +      Is it the case that /etc/crypttab does not have unix mode 0600?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ipsec.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ +$ ls -lL /etc/ipsec.conf
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slub_debug=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slub_debug=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SLUB/SLAB poisoning is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /var/log mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ -    . . . /var/log . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var/log" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_regular kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_regular
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ -such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ -automated account mechanisms in place.
│ │ │ │ -      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the libpam-pwquality package is installed:
│ │ │ │ +$ dpkg -l  libpam-pwquality
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/bash.bashrc file with the following command:
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +$ sudo grep "umask" /etc/bash.bashrc
│ │ │ │ +
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/grub/user.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /boot mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/boot\s'
│ │ │ │ +    . . . /boot . . . noexec . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/boot" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the dhcp package is installed:
│ │ │ │ -$ dpkg -l  dhcp
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.dmesg_restrict kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_defrtr
│ │ │ │ -0.
│ │ │ │ +$ sysctl kernel.dmesg_restrict
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │ +    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo systemctl is-enabled sshd
│ │ │ │ +Output should indicate the sshd service has either not been installed,
│ │ │ │ +or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ +$ sudo systemctl is-enabled sshd disabled
│ │ │ │ +
│ │ │ │ +Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active sshd
│ │ │ │ +
│ │ │ │ +If the service is not running the command will return the following output:
│ │ │ │ +inactive
│ │ │ │ +
│ │ │ │ +The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +
│ │ │ │ +If the service is masked the command will return the following outputs:
│ │ │ │ +
│ │ │ │ +LoadState=masked
│ │ │ │ +
│ │ │ │ +UnitFileState=masked
│ │ │ │ +      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /usr with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /opt mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/opt\s'
│ │ │ │ +    . . . /opt . . . nosuid . . .
│ │ │ │  
│ │ │ │ -$ mountpoint /usr
│ │ │ │ +      Is it the case that the "/opt" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.pid_max kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.pid_max
│ │ │ │ +65536.
│ │ │ │  
│ │ │ │ -      Is it the case that "/usr is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODIFY_LDT_SYSCALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_ARM64_SW_TTBR0_PAN /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ -          <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ -$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/
│ │ │ │  
│ │ │ │ -The following command will show files which do not belong to a valid group:
│ │ │ │ -$ sudo find MOUNTPOINT -xdev -nogroup 2&gt;/dev/null
│ │ │ │ +To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │  
│ │ │ │ -Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -No files without a valid group should be located.
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ -/etc/passwd, run the following command:
│ │ │ │ -awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ -If it produces any output, then a password hash is
│ │ │ │ -stored in /etc/passwd.
│ │ │ │ -      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.ip_local_port_range kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.ip_local_port_range
│ │ │ │ -32768 65535.
│ │ │ │ +$ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep open_by_handle_at /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include iommu=force, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ipsec.conf,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ipsec.conf
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ +$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ -$ grep aide /etc/crontab
│ │ │ │ -The output should return something similar to the following:
│ │ │ │ -05 4 * * * root /usr/sbin/aide --check
│ │ │ │ +The output should contain overflow_action = syslog
│ │ │ │  
│ │ │ │ -NOTE: The usage of special cron times, such as @daily or @weekly, is acceptable.
│ │ │ │ -      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │ +If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ +single, halt or the line is commented out, ask the System Administrator
│ │ │ │ +to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ +      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /var/log/syslog
│ │ │ │ +$ ls -l /var/log
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +drwxr-xr-x
│ │ │ │ +      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mds=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mds=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MDS mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_source_route
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -auditd service:
│ │ │ │ -$ sudo systemctl is-active auditd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ -    . . . /tmp . . . noexec . . .
│ │ │ │ +The command should return:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 security patches and updates are installed and up to date.
│ │ │ │ -Updates are required to be applied with a frequency determined by organizational policy.
│ │ │ │ +0
│ │ │ │  
│ │ │ │ +      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one special character with the following command:
│ │ │ │  
│ │ │ │ +$ sudo grep ocredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │  
│ │ │ │ -Typical update frequency may be overridden by Information Assurance Vulnerability Alert (IAVA) notifications from CYBERCOM.
│ │ │ │ -      Is it the case that Debian 12 is in non-compliance with the organizational patching policy?</ocil:question_text>
│ │ │ │ +ocredit = 
│ │ │ │ +      Is it the case that value of "ocredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mce=0, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slab_nomerge=yes, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 is configured to lock an account after 
│ │ │ │ +unsuccessful logon attempts with the command:
│ │ │ │ +
│ │ │ │ +$ grep 'deny =' /etc/security/faillock.conf
│ │ │ │ +deny = .
│ │ │ │ +      Is it the case that the "deny" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_deny" /&gt;"
│ │ │ │ +or less (but not "0"), is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ -following command:
│ │ │ │ -$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/selinux,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/selinux
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/sbin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -To find system executables directories that are group-writable or
│ │ │ │ -world-writable, run the following command for each directory DIR
│ │ │ │ -which contains system executables:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/selinux does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -syslog
│ │ │ │ -      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be .
│ │ │ │ +      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │ -          <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ -$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -
│ │ │ │ -The following command will show files which do not belong to a valid user:
│ │ │ │ -$ sudo find MOUNTPOINT -xdev -nouser 2&gt;/dev/null
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /boot with the following command:
│ │ │ │  
│ │ │ │ -Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │ +$ mountpoint /boot
│ │ │ │  
│ │ │ │ -No files without a valid user should be located.
│ │ │ │ -      Is it the case that files exist that are not owned by a valid user?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_RANDSTRUCT /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that "/boot is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/System.map*,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ipsec.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/System.map*
│ │ │ │ +$ ls -lL /etc/ipsec.d
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/System.map* does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.perf_event_max_sample_rate kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.perf_event_max_sample_rate
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +fchmodat system call, run the following command:
│ │ │ │ +$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if ignore_dot has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bignore_dot\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that ignore_dot is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.rp_filter parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.rp_filter
│ │ │ │ +The output of the command should indicate either:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 1
│ │ │ │ +or:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 2
│ │ │ │ +The output of the command should not indicate:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 0
│ │ │ │ +
│ │ │ │ +The preferable way how to assure the runtime compliance is to have
│ │ │ │ +correct persistent configuration, and rebooting the system.
│ │ │ │ +
│ │ │ │ +The persistent sysctl parameter configuration is performed by specifying the appropriate
│ │ │ │ +assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ +Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ +$ grep -r '^\s*net.ipv4.conf.all.rp_filter\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ +The command should not find any assignments other than:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 1
│ │ │ │ +or:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 2
│ │ │ │ +
│ │ │ │ +Conflicting assignments are not allowed.
│ │ │ │ +      Is it the case that the net.ipv4.conf.all.rp_filter is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SCHED_STACK_END_CHECK /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep init
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_redirects
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/tmp with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ mountpoint /var/tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +mount system call, run the following command:
│ │ │ │ +$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_pinfo
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the boot loader superuser password has been set, run the following command:
│ │ │ │ +$ sudo grep "^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$" /boot/grub2/user.cfg
│ │ │ │ +The output should be similar to:
│ │ │ │ +GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.C4E08AC72FBFF7E837FD267BFAD7AEB3D42DDC
│ │ │ │ +2C99F2A94DD5E2E75C2DC331B719FE55D9411745F82D1B6CFD9E927D61925F9BBDD1CFAA0080E0
│ │ │ │ +916F7AB46E0D.1302284FCCC52CD73BA3671C6C12C26FF50BA873293B24EE2A96EE3B57963E6D7
│ │ │ │ +0C83964B473EC8F93B07FE749AA6710269E904A9B08A6BBACB00A2D242AD828
│ │ │ │ +      Is it the case that no password is set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STACKPROTECTOR /boot/config.*
│ │ │ │ +    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +          <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ +adm.
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the group-owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/tmp with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /var/tmp
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.send_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.send_redirects
│ │ │ │ -0.
│ │ │ │ +If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one special character with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ +every  records, run the following command:
│ │ │ │ +$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +freq = 
│ │ │ │ +      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ +The following command should return no output
│ │ │ │ +$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ +for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ +then echo "Expiry date in future";
│ │ │ │ +fi; done 
│ │ │ │ +      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │  
│ │ │ │ -$ sudo grep ocredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -ocredit = 
│ │ │ │ -      Is it the case that value of "ocredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ +$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the failed password attempt policy is configured correctly, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep fail_interval /etc/security/faillock.conf
│ │ │ │ -The output should show fail_interval = &lt;interval-in-seconds&gt; where interval-in-seconds is  or greater.
│ │ │ │ -      Is it the case that the "fail_interval" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_fail_interval" /&gt;"
│ │ │ │ -or less (but not "0"), the line is commented out, or the line is missing?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/grub2/user.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/grub/user.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /boot/grub2/user.cfg
│ │ │ │ +$ ls -l /boot/grub/user.cfg
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │  -rw-------
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /var/tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ -    . . . /var/tmp . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/sudoers.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ +$ ls -lL /etc/sudoers.d
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -apparmor service:
│ │ │ │ -$ sudo systemctl is-active apparmor
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.randomize_va_space
│ │ │ │ -2.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchownat system call, run the following command:
│ │ │ │ +$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/grub/user.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/grub/user.cfg,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /boot/grub/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_defrtr
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the libpam-pwquality package is installed:
│ │ │ │ -$ dpkg -l  libpam-pwquality
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine that AIDE is verifying ACLs, run the following command:
│ │ │ │ +$ grep acl /etc/aide/aide.conf
│ │ │ │ +Verify that the acl option is added to the correct ruleset.
│ │ │ │ +      Is it the case that the acl option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r open /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep open_by_handle_at /etc/audit/audit.rules
│ │ │ │ +$ sudo grep open /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +
│ │ │ │ +-w /var/log/lastlog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ -$ sudo grep logrotate /var/log/cron*
│ │ │ │ -If logrotate is configured properly, output should include references to
│ │ │ │ -/etc/cron.daily.
│ │ │ │ -      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.rp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.rp_filter
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/sshd_config,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the setroubleshoot-server package is installed:
│ │ │ │ +$ dpkg -l  setroubleshoot-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ -$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveInterval 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ +FAIL_DELAY 
│ │ │ │ +      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chrony service:
│ │ │ │ +$ sudo systemctl is-active chrony
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ntpd service:
│ │ │ │ +$ sudo systemctl is-active ntpd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to get the current configured value for polyinstantiation_enabled
│ │ │ │ -SELinux boolean:
│ │ │ │ -$ getsebool polyinstantiation_enabled
│ │ │ │ -The expected cofiguration is .
│ │ │ │ -"on" means true, and "off" means false
│ │ │ │ -      Is it the case that polyinstantiation_enabled is not set as expected?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>The telnet package can be removed with the following command:  $ apt-get remove telnet
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ -    . . . /tmp . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the setroubleshoot-plugins package is installed:
│ │ │ │ +$ dpkg -l  setroubleshoot-plugins
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -removexattr system call, run the following command:
│ │ │ │ -$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine that AIDE is verifying extended file attributes, run the following command:
│ │ │ │ +$ grep xattrs /etc/aide/aide.conf
│ │ │ │ +Verify that the xattrs option is added to the correct ruleset.
│ │ │ │ +      Is it the case that the xattrs option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_FREELIST_HARDENED /boot/config.*
│ │ │ │ +    $ grep CONFIG_STACKPROTECTOR /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ -$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -MaxSessions 
│ │ │ │ -      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/iptables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/iptables
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/iptables does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ -          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the root user:
│ │ │ │ -$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ -The output should return an alias.
│ │ │ │ -      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /var mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var\s'
│ │ │ │ +    . . . /var . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /home mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/home\s'
│ │ │ │ +    . . . /home . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/home" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.autoconf kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.autoconf
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces a minimum -character password length with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.unprivileged_bpf_disabled kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.unprivileged_bpf_disabled
│ │ │ │ -1.
│ │ │ │ +$ grep minlen /etc/security/pwquality.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +minlen = 
│ │ │ │ +      Is it the case that the command does not return a "minlen" value of "&lt;sub idref="var_password_pam_minlen" /&gt;" or greater, does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +ntp service:
│ │ │ │ +$ sudo systemctl is-active ntp
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo systemctl is-enabled snmpd
│ │ │ │ -Output should indicate the snmpd service has either not been installed,
│ │ │ │ -or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled snmpd disabled
│ │ │ │ -
│ │ │ │ -Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active snmpd
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │  
│ │ │ │ -If the service is not running the command will return the following output:
│ │ │ │ -inactive
│ │ │ │ +$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the service is masked the command will return the following outputs:
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/iptables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/iptables
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/iptables does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the kea package is installed:
│ │ │ │ +$ dpkg -l  kea
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if ignore_dot has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bignore_dot\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that ignore_dot is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/nftables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/nftables
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/nftables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/iptables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/iptables
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/iptables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the sudo package is installed: $ dpkg -l  sudo
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "kmod" command with the following command:
│ │ │ │  
│ │ │ │ -LoadState=masked
│ │ │ │ +$ sudo auditctl -l | grep kmod
│ │ │ │  
│ │ │ │ -UnitFileState=masked
│ │ │ │ -      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/usr/bin/kmod -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-kmod
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HARDENED_USERCOPY /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -
│ │ │ │ -The output should be:
│ │ │ │ -
│ │ │ │ -/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ -      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmap /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ +Run the following command:
│ │ │ │  
│ │ │ │ -If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ -each file specified (and perm=wa should be indicated for each).
│ │ │ │ -      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ +$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ +      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_NONE /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/chrony.keys,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/chrony.keys
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0640
│ │ │ │ -      Is it the case that /etc/chrony.keys does not have unix mode 0640?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +          <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ +      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo systemctl is-enabled sshd
│ │ │ │ -Output should indicate the sshd service has either not been installed,
│ │ │ │ -or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled sshd disabled
│ │ │ │ -
│ │ │ │ -Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active sshd
│ │ │ │ -
│ │ │ │ -If the service is not running the command will return the following output:
│ │ │ │ -inactive
│ │ │ │ -
│ │ │ │ -The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -If the service is masked the command will return the following outputs:
│ │ │ │ +$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -LoadState=masked
│ │ │ │ +admin_space_left_action = single
│ │ │ │  
│ │ │ │ -UnitFileState=masked
│ │ │ │ -      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ARM64_SW_TTBR0_PAN /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │ +$ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │ +If configured, this command should output the configuration.
│ │ │ │ +      Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │ +$ sudo auditctl -l | grep reboot
│ │ │ │  
│ │ │ │ -session [default=1] pam_lastlog.so showfailed
│ │ │ │ -      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.autoconf kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_pinfo
│ │ │ │ +$ sysctl net.ipv6.conf.all.autoconf
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the tftp-server package is installed:
│ │ │ │ +$ dpkg -l  tftp-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit 
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.secure_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.secure_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit/* 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/sysctl.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0755
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include pti=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*pti=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that Kernel page-table isolation is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system audits activities performed during nonlocal
│ │ │ │ +maintenance and diagnostic sessions. Run the following command:
│ │ │ │ +$ sudo auditctl -l | grep sudo.log
│ │ │ │ +-w /var/log/sudo.log -p wa -k maintenance
│ │ │ │ +
│ │ │ │ +      Is it the case that Audit rule is not present?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ipsec.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.d
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +setxattr system call, run the following command:
│ │ │ │ +$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +ufw service:
│ │ │ │ +$ sudo systemctl is-active ufw
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.rp_filter parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.icmp_ignore_bogus_error_responses kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.rp_filter
│ │ │ │ -The output of the command should indicate either:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 1
│ │ │ │ -or:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 2
│ │ │ │ -The output of the command should not indicate:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 0
│ │ │ │ -
│ │ │ │ -The preferable way how to assure the runtime compliance is to have
│ │ │ │ -correct persistent configuration, and rebooting the system.
│ │ │ │ -
│ │ │ │ -The persistent sysctl parameter configuration is performed by specifying the appropriate
│ │ │ │ -assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ -Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ -$ grep -r '^\s*net.ipv4.conf.all.rp_filter\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ -The command should not find any assignments other than:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 1
│ │ │ │ -or:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 2
│ │ │ │ +$ sysctl net.ipv4.icmp_ignore_bogus_error_responses
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -Conflicting assignments are not allowed.
│ │ │ │ -      Is it the case that the net.ipv4.conf.all.rp_filter is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/sudoers,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sudoers
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +iptables service:
│ │ │ │ +$ sudo systemctl is-active iptables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG_ON_DATA_CORRUPTION /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the sudo package is installed: $ dpkg -l  sudo
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_regular kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.ip_local_port_range kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl fs.protected_regular
│ │ │ │ -2.
│ │ │ │ +$ sysctl net.ipv4.ip_local_port_range
│ │ │ │ +32768 65535.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ -          <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ -$ sudo find / -xdev -type f -perm -002
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/grub2/grub.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/sysctl.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ +$ ls -lL /etc/sysctl.d
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub2/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +
│ │ │ │ +The output should be:
│ │ │ │ +
│ │ │ │ +/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ +      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/grub2/grub.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -lL /boot/grub2/grub.cfg
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub2/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_symlinks
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nodev . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STACKLEAK /boot/config.*
│ │ │ │ +    $ grep CONFIG_REFCOUNT_FULL /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/grub/grub.cfg, run the command:
│ │ │ │ -$ sudo ls -lL /boot/grub/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following
│ │ │ │ -permissions: -rw-------
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │            <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │  run the following command:
│ │ │ │  $ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │  The command should return output only for the vdsm user.
│ │ │ │        Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nodev . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include l1tf=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the talk-server package is installed:
│ │ │ │ -$ dpkg -l  talk-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ +If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ +each file specified (and with perm=wa for each).
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ -          <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ -openssh-server with following command:
│ │ │ │ -$ rpm -qi openssh-server | grep Version
│ │ │ │ -Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ +$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ grep aide /etc/crontab
│ │ │ │ +The output should return something similar to the following:
│ │ │ │ +05 4 * * * root /usr/sbin/aide --check | /bin/mail -s "$(hostname) - AIDE Integrity Check" root@localhost
│ │ │ │ +The email address that the notifications are sent to can be changed by overriding
│ │ │ │ +.
│ │ │ │ +      Is it the case that AIDE has not been configured or has not been configured to notify personnel of scan details?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.tcp_rfc1337 kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.router_solicitations kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.tcp_rfc1337
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv6.conf.all.router_solicitations
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ipsec.secrets,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ipsec.secrets
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +          <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ +$ sudo find / -xdev -type f -perm -002
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --w /var/log/tallylog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HARDENED_USERCOPY_FALLBACK /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_WX /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>The rsh package can be removed with the following command:  $ apt-get remove rsh
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chown system call, run the following command:
│ │ │ │ -$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_REFCOUNT_FULL /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_rtr_pref
│ │ │ │ -0.
│ │ │ │ +$ sysctl kernel.randomize_va_space
│ │ │ │ +2.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure the TMOUT value is configured for all users
│ │ │ │ -on the system:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep TMOUT /etc/profile /etc/profile.d/*.sh
│ │ │ │ +$ mountpoint /srv
│ │ │ │  
│ │ │ │ -The output should return the following:
│ │ │ │ -TMOUT=
│ │ │ │ -      Is it the case that value of TMOUT is not less than or equal to expected setting?</ocil:question_text>
│ │ │ │ +      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /usr/bin/sudo,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /usr/bin/sudo
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -
│ │ │ │ -      Is it the case that /usr/bin/sudo does not have a group owner of &lt;sub idref="var_sudo_dedicated_group" /&gt;?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +syslog-ng service:
│ │ │ │ +$ sudo systemctl is-active syslog-ng
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STRICT_KERNEL_WRX /boot/config.*
│ │ │ │ +    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.dmesg_restrict kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.dmesg_restrict
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep 
│ │ │ │ +
│ │ │ │ +-w  -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +chmod system call, run the following command:
│ │ │ │ +$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.router_solicitations kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.router_solicitations
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.perf_cpu_time_max_percent kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.perf_cpu_time_max_percent
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ -$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ -If properly configured, output should be:
│ │ │ │ -MaxAuthTries 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo pwck -qr
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/crypttab,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/crypttab
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0600
│ │ │ │ -      Is it the case that /etc/crypttab does not have unix mode 0600?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_NONE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the device or Debian 12 does not have a camera installed, this requirement is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │ +This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ -          <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ -      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │ +For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │  
│ │ │ │ -Check which action Debian 12 takes when the audit storage volume is full with the following command:
│ │ │ │ +For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │  
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ -The following command should return no output
│ │ │ │ -$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ -for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ -then echo "Expiry date in future";
│ │ │ │ -fi; done 
│ │ │ │ -      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +
│ │ │ │ +Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +
│ │ │ │ +$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +
│ │ │ │ +install uvcvideo /bin/true
│ │ │ │ +      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ -$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ -$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ -      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ +$ sysctl fs.suid_dumpable
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ -
│ │ │ │ -  sudo auditctl -l | grep -w '/sbin/modprobe'
│ │ │ │ -  -w /sbin/modprobe -p x -k modules
│ │ │ │ -
│ │ │ │ -It should return a relevant line in the audit rules.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchown system call, run the following command:
│ │ │ │ -$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /var mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var\s'
│ │ │ │ -    . . . /var . . . noexec . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ +# ls -ld /home/USER
│ │ │ │ +      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one lower-case character.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shells,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shells
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shells does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLAB_MERGE_DEFAULT /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │  
│ │ │ │ -Check the value for "lcredit" with the following command:
│ │ │ │ +$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -$ sudo grep lcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +dir = /var/log/faillock
│ │ │ │ +      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │  
│ │ │ │ -/etc/security/pwquality.conf:lcredit = -1
│ │ │ │ -      Is it the case that the value of "lcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ +# grep -i umask /etc/login.defs
│ │ │ │ +
│ │ │ │ +UMASK 
│ │ │ │ +      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.ip_forward kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_source_route
│ │ │ │ +$ sysctl net.ipv4.ip_forward
│ │ │ │  0.
│ │ │ │ -
│ │ │ │ +The ability to forward packets is only appropriate for routers.
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/sestatus.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/sudoers.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/sestatus.conf
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ -          <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ -.rhosts inside a user home directory indicates the presence
│ │ │ │ -of an Rsh trust relationship.
│ │ │ │ -      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/sudoers.d
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the tftp-server package is installed:
│ │ │ │ -$ dpkg -l  tftp-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_defrtr kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl fs.suid_dumpable
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_defrtr
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.icmp_ignore_bogus_error_responses kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.icmp_ignore_bogus_error_responses
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the device or Debian 12 does not have a camera installed, this requirement is not applicable.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ -This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +If configured properly, output should be
│ │ │ │ +RekeyLimit  
│ │ │ │ +      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +$ sudo auditctl -l | grep poweroff
│ │ │ │  
│ │ │ │ -install uvcvideo /bin/true
│ │ │ │ -      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine that AIDE is verifying extended file attributes, run the following command:
│ │ │ │ -$ grep xattrs /etc/aide/aide.conf
│ │ │ │ -Verify that the xattrs option is added to the correct ruleset.
│ │ │ │ -      Is it the case that the xattrs option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the boot loader superuser password has been set, run the following command:
│ │ │ │ -$ sudo grep "^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$" /boot/grub2/user.cfg
│ │ │ │ -The output should be similar to:
│ │ │ │ -GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.C4E08AC72FBFF7E837FD267BFAD7AEB3D42DDC
│ │ │ │ -2C99F2A94DD5E2E75C2DC331B719FE55D9411745F82D1B6CFD9E927D61925F9BBDD1CFAA0080E0
│ │ │ │ -916F7AB46E0D.1302284FCCC52CD73BA3671C6C12C26FF50BA873293B24EE2A96EE3B57963E6D7
│ │ │ │ -0C83964B473EC8F93B07FE749AA6710269E904A9B08A6BBACB00A2D242AD828
│ │ │ │ -      Is it the case that no password is set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ +    . . . /tmp . . . noexec . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ -If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ -each file specified (and with perm=wa for each).
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /opt with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /opt
│ │ │ │ +
│ │ │ │ +      Is it the case that "/opt is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ +escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ +$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ +      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │            <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │      run the following command:
│ │ │ │      $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │      . . . /dev/shm . . . nosuid . . .
│ │ │ │  
│ │ │ │        Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │ -
│ │ │ │ -    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │ -
│ │ │ │ -The command should return:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd" with the following command:
│ │ │ │  
│ │ │ │ -0
│ │ │ │ +$  sudo auditctl -l | grep -E '(/etc/passwd)'
│ │ │ │  
│ │ │ │ -      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +-w /etc/passwd -p wa -k identity
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ipsec.secrets,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.secrets
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ -          <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ -adm.
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the group-owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │ +
│ │ │ │ +   sudo auditctl -l | grep -w '/sbin/insmod'
│ │ │ │ +
│ │ │ │ +If the system is configured to audit the execution of the module management program "insmod",
│ │ │ │ +the command will return a line.
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +settimeofday system call, run the following command:
│ │ │ │ +$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/nftables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/nftables
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/nftables does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.perf_event_paranoid kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.perf_event_paranoid
│ │ │ │ +2.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +"umount" system call, run the following command:
│ │ │ │ +$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ +-a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +auditd service:
│ │ │ │ +$ sudo systemctl is-active auditd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/sbin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +To find system executables directories that are group-writable or
│ │ │ │ +world-writable, run the following command for each directory DIR
│ │ │ │ +which contains system executables:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │            <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │  Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │  $ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │  disk_full_action = 
│ │ │ │  
│ │ │ │  If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │        Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 
│ │ │ │ -For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ -the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ -functionality completely.
│ │ │ │ -If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ -ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the logrotate timer: $ sudo systemctl is-active logrotate.timer If the timer is running, it should return the following: active
│ │ │ │ -      Is it the case that logrotate timer is not enabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ -      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords.
│ │ │ │ -      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_EMULATE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 security patches and updates are installed and up to date.
│ │ │ │ +Updates are required to be applied with a frequency determined by organizational policy.
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine that AIDE is verifying ACLs, run the following command:
│ │ │ │ -$ grep acl /etc/aide/aide.conf
│ │ │ │ -Verify that the acl option is added to the correct ruleset.
│ │ │ │ -      Is it the case that the acl option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │ +
│ │ │ │ +Typical update frequency may be overridden by Information Assurance Vulnerability Alert (IAVA) notifications from CYBERCOM.
│ │ │ │ +      Is it the case that Debian 12 is in non-compliance with the organizational patching policy?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -
│ │ │ │ -The output should be:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -/etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │ -      Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/sestatus.conf,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sestatus.conf
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ -          <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ -/bin 
│ │ │ │ -/sbin 
│ │ │ │ -/usr/bin 
│ │ │ │ -/usr/sbin 
│ │ │ │ -/usr/local/bin 
│ │ │ │ -/usr/local/sbin
│ │ │ │ -For each of these directories, run the following command to find directories not
│ │ │ │ -owned by root:
│ │ │ │ -$ sudo find -L $DIR ! -user root -type d
│ │ │ │ -      Is it the case that any of these directories are not owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the rsh-server package is installed:
│ │ │ │ -$ dpkg -l  rsh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if umask has been configured for sudo with the appropriate value,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri '^Defaults.*umask=' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that umask is not set with the appropriate value for sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │            <ocil:question_text>Verify Debian 12 is configured to lock an account until released by an administrator
│ │ │ │  after  unsuccessful logon
│ │ │ │  attempts with the command:
│ │ │ │  
│ │ │ │  $ grep 'unlock_time =' /etc/security/faillock.conf
│ │ │ │  unlock_time = 
│ │ │ │        Is it the case that the "unlock_time" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_unlock_time" /&gt;",
│ │ │ │  the line is missing, or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ -/lib
│ │ │ │ -/lib64
│ │ │ │ -/usr/lib
│ │ │ │ -/usr/lib64
│ │ │ │ -
│ │ │ │ -To find shared libraries that are group-writable or world-writable,
│ │ │ │ -run the following command for each directory DIR which contains shared libraries:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the shadow password suite configuration is set to encrypt password with a FIPS 140-2 approved cryptographic hashing algorithm.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -Check the hashing algorithm that is being used to hash passwords with the following command:
│ │ │ │ +Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i ENCRYPT_METHOD /etc/login.defs
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -ENCRYPT_METHOD 
│ │ │ │ -      Is it the case that ENCRYPT_METHOD is not set to &lt;sub idref="var_password_hashing_algorithm" /&gt;?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be .
│ │ │ │ -      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/sysctl.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all local initialization files for interactive users are owned by the
│ │ │ │ -primary user, run the following command:
│ │ │ │ -$ sudo ls -al /home/USER/.*
│ │ │ │ -The user initialization files should be owned by USER.
│ │ │ │ -      Is it the case that they are not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.tcp_syncookies kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.tcp_syncookies
│ │ │ │ -1.
│ │ │ │ +disk_error_action = HALT
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/ 
│ │ │ │ -
│ │ │ │ -To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ipsec.secrets,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ipsec.secrets
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have unix mode 0644?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "sudo" command with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /var/log mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ -    . . . /var/log . . . noexec . . .
│ │ │ │ +$ sudo auditctl -l | grep sudo
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var/log" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/usr/bin/sudo -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-sudo
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ -          <ocil:question_text>First, check whether the password is defined in either /boot/grub/user.cfg or
│ │ │ │ -/boot/grub/grub.cfg.
│ │ │ │ -Run the following commands:
│ │ │ │ -$ sudo grep '^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$' /boot/grub/user.cfg
│ │ │ │ -$ sudo grep '^[\s]*password_pbkdf2[\s]+.*[\s]+grub\.pbkdf2\.sha512.*$' /boot/grub/grub.cfg
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Second, check that a superuser is defined in /boot/grub/grub.cfg.
│ │ │ │ -$ sudo grep '^[\s]*set[\s]+superusers=("?)[a-zA-Z_]+\1$'  /boot/grub/grub.cfg
│ │ │ │ -      Is it the case that it does not produce any output?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ +$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveInterval 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /dev/shm
│ │ │ │ -
│ │ │ │ -      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/sestatus.conf,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sestatus.conf
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the system backups user data.
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ +$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ +The DoD requirement is 7.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one upper-case character.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │ -Check the value for "ucredit" with the following command:
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │ -$ sudo grep ucredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +The output should be:
│ │ │ │  
│ │ │ │ -ucredit = -1
│ │ │ │ -      Is it the case that the value of "ucredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ -$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ +/etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │ +      Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd" with the following command:
│ │ │ │ -
│ │ │ │ -$  sudo auditctl -l | grep -E '(/etc/passwd)'
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ --w /etc/passwd -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -mount system call, run the following command:
│ │ │ │ -$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that rsyslog's Forwarding Output Module is configured
│ │ │ │ +to use TLS for logging to remote server, run the following command:
│ │ │ │ +$ grep omfwd /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should include record similar to
│ │ │ │ +action(type="omfwd" protocol="tcp" Target="&lt;remote system&gt;" port="6514"
│ │ │ │ +    StreamDriver="gtls" StreamDriverMode="1" StreamDriverAuthMode="x509/name" streamdriver.CheckExtendedKeyPurpose="on")
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ -If the system is 64-bit only, this is not applicable
│ │ │ │ -ocil: |
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -stime system call, run the following command:
│ │ │ │ -$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +where the &lt;remote system&gt; present in the configuration line above must be a valid IP address or a host name of the remote logging server.
│ │ │ │ +      Is it the case that omfwd is not configured with gtls and AuthMode?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STACKLEAK /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the vm.mmap_min_addr kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl vm.mmap_min_addr
│ │ │ │ -65536.
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_source_route
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the value of the "minclass" option in "/etc/security/pwquality.conf" with the following command:
│ │ │ │ -
│ │ │ │ -$ grep minclass /etc/security/pwquality.conf
│ │ │ │ -
│ │ │ │ -minclass = 
│ │ │ │ -      Is it the case that the value of "minclass" is set to less than "&lt;sub idref="var_password_pam_minclass" /&gt;" or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ -sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │  The command should return no output.
│ │ │ │ -      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ +      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ipsec.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /etc/ipsec.conf
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.core.bpf_jit_harden kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/grub2/grub.cfg, run the command:
│ │ │ │ +$ sudo ls -lL /boot/grub2/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following
│ │ │ │ +permissions: -rwx------
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.max_addresses kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.core.bpf_jit_harden
│ │ │ │ -2.
│ │ │ │ +$ sysctl net.ipv6.conf.default.max_addresses
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ +-e 2
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /opt mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/opt\s'
│ │ │ │ -    . . . /opt . . . nosuid . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit 
│ │ │ │  
│ │ │ │ -      Is it the case that the "/opt" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit/* 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ -          <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ -/bin 
│ │ │ │ -/sbin 
│ │ │ │ -/usr/bin 
│ │ │ │ -/usr/sbin 
│ │ │ │ -/usr/local/bin 
│ │ │ │ -/usr/local/sbin
│ │ │ │ -For each of these directories, run the following command to find directories not
│ │ │ │ -owned by root:
│ │ │ │ -$ sudo find -L $DIR ! -group root -type d -exec chgrp root {} \;
│ │ │ │ -      Is it the case that any of these directories are not group owned by root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/sshd_config,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the rsyslog-gnutls package is installed:
│ │ │ │ -$ dpkg -l  rsyslog-gnutls
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchown system call, run the following command:
│ │ │ │ +$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the talk-server package is installed:
│ │ │ │ +$ dpkg -l  talk-server
│ │ │ │        Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.modules_disabled kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.accept_source_route
│ │ │ │ -0.
│ │ │ │ +$ sysctl kernel.modules_disabled
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ -      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how much data the system will retain in each audit log file:
│ │ │ │ -$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ -max_log_file = 6
│ │ │ │ -      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 is configured to limit the "pwquality" retry option to .
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Check for the use of the "pwquality" retry option in the PAM files with the following command:
│ │ │ │ -
│ │ │ │ -$ grep pam_pwquality /etc/pam.d/common-password
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -password requisite pam_pwquality.so retry=
│ │ │ │ -      Is it the case that the value of "retry" is set to "0" or greater than "&lt;sub idref="var_password_pam_retry" /&gt;", or is missing?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>The ypbind package can be removed with the following command:  $ apt-get remove ypbind
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -"umount" system call, run the following command:
│ │ │ │ -$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ --a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -clock_settime system call, run the following command:
│ │ │ │ -$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.autoconf kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.autoconf
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ -following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/gshadow" with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/gshadow)'
│ │ │ │  
│ │ │ │ -If configured properly, output should be
│ │ │ │ -RekeyLimit  
│ │ │ │ -      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/chrony.keys,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/chrony.keys
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/chrony.keys does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 is configured to lock an account after 
│ │ │ │ -unsuccessful logon attempts with the command:
│ │ │ │ +-w /etc/gshadow -p wa -k identity
│ │ │ │  
│ │ │ │ -$ grep 'deny =' /etc/security/faillock.conf
│ │ │ │ -deny = .
│ │ │ │ -      Is it the case that the "deny" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_deny" /&gt;"
│ │ │ │ -or less (but not "0"), is missing or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/iptables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/iptables
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/iptables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +If the command does not return a line, or the line is commented out, this is a finding.
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_RANDSTRUCT /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that the kernel was built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.max_addresses kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.max_addresses
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +umount2 system call, run the following command:
│ │ │ │ +$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/bash.bashrc file with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep "umask" /etc/bash.bashrc
│ │ │ │ -
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ +or scripts within /etc/profile.d directory with the following command:
│ │ │ │ +$ grep "umask" /etc/profile*
│ │ │ │  umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ -          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ -$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ -The output should return root.
│ │ │ │ -      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ +or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/iptables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/iptables
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/iptables does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_STACKPROTECTOR_STRONG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system audits activities performed during nonlocal
│ │ │ │ -maintenance and diagnostic sessions. Run the following command:
│ │ │ │ -$ sudo auditctl -l | grep sudo.log
│ │ │ │ --w /var/log/sudo.log -p wa -k maintenance
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -      Is it the case that Audit rule is not present?</ocil:question_text>
│ │ │ │ +Check which action Debian 12 takes when the audit storage volume is full with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/grub2/user.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/grub2/user.cfg,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /boot/grub2/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ -A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ -      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ +$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +MaxSessions 
│ │ │ │ +      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the nodev option is configured for non-root local partitions, run the following command:
│ │ │ │ -$ sudo mount | grep '^/dev\S* on /\S' | grep --invert-match 'nodev'
│ │ │ │ -The output shows local non-root partitions mounted without the nodev option, and there should be no output at all.
│ │ │ │ -
│ │ │ │ -      Is it the case that some mounts appear among output lines?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK /boot/config.*
│ │ │ │ +    $ grep CONFIG_HARDENED_USERCOPY_FALLBACK /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo find /home -xdev -name .netrc
│ │ │ │ -      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /var/log mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ +    . . . /var/log . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/var/log" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -setxattr system call, run the following command:
│ │ │ │ -$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │ +adjtimex system call, run the following command:
│ │ │ │ +$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.perf_event_max_sample_rate kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the failed password attempt policy is configured correctly, run the following command:
│ │ │ │ +
│ │ │ │ +$ grep fail_interval /etc/security/faillock.conf
│ │ │ │ +The output should show fail_interval = &lt;interval-in-seconds&gt; where interval-in-seconds is  or greater.
│ │ │ │ +      Is it the case that the "fail_interval" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_fail_interval" /&gt;"
│ │ │ │ +or less (but not "0"), the line is commented out, or the line is missing?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.secure_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.perf_event_max_sample_rate
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv4.conf.default.secure_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │  
│ │ │ │ -If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_MERGE_DEFAULT /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/grub2/grub.cfg, run the command:
│ │ │ │ -$ sudo ls -lL /boot/grub2/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following
│ │ │ │ -permissions: -rwx------
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords. Remove any instances of the nullok option to
│ │ │ │ +prevent logins with empty passwords.
│ │ │ │ +      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │ -$ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │ -If configured, this command should output the configuration.
│ │ │ │ -      Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 disables core dump backtraces by issuing the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ +
│ │ │ │ +ProcessSizeMax=0
│ │ │ │ +      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -local_events = yes
│ │ │ │ -      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │ +
│ │ │ │ +adm.
│ │ │ │ +
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ufw service:
│ │ │ │ -$ sudo systemctl is-active ufw
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ +.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ --e 2
│ │ │ │ +$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │ +action_mail_acct = 
│ │ │ │ +      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │            <ocil:question_text>To check the group ownership of /etc/chrony.keys,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/chrony.keys
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  chrony
│ │ │ │        Is it the case that /etc/chrony.keys does not have a group owner of chrony?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure postfix accepts mail messages from only the local system:
│ │ │ │ -$ grep inet_interfaces /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /home mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/home\s'
│ │ │ │ -    . . . /home . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/home" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/iptables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/iptables
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/iptables does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/sshd_config,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/sudoers,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ssh/sshd_config
│ │ │ │ +$ ls -l /etc/sudoers
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +0440
│ │ │ │ +      Is it the case that /etc/sudoers does not have unix mode 0440?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -rsyslog service:
│ │ │ │ -$ sudo systemctl is-active rsyslog
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords.
│ │ │ │ +      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include page_poison=1, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*page_poison=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that page allocator poisoning is not enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ipsec.secrets,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.secrets
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.router_solicitations kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_redirects
│ │ │ │ +$ sysctl net.ipv6.conf.default.router_solicitations
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ -escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ -$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ -      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/sysctl.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sysctl.d
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the system backups user data.
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /var/tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ +    . . . /var/tmp . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/crypttab,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/crypttab
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/crypttab does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/selinux,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/selinux
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0755
│ │ │ │ +      Is it the case that /etc/selinux does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shells,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shells
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/shells does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ +such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ +automated account mechanisms in place.
│ │ │ │ +      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.rp_filter kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.rp_filter
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be no or delayed.
│ │ │ │ +      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the talk package is installed:
│ │ │ │ +$ dpkg -l  talk
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STRICT_MODULE_RWX /boot/config.*
│ │ │ │ +    $ grep CONFIG_BUG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +          <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ +$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ +fixtext: |-
│ │ │ │ +Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include rng_core.default_quality=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +$ chmod a+t [World-Writable Directory]
│ │ │ │ +srg_requirement:
│ │ │ │ +A sticky bit must be set on all Debian 12 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /var mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var\s'
│ │ │ │ -    . . . /var . . . nosuid . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.accept_source_route
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ - for each element in root's path, run the following command:
│ │ │ │ -# ls -ld DIR
│ │ │ │ -      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/sysctl.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -dir = /var/log/faillock
│ │ │ │ -      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 0
│ │ │ │ +
│ │ │ │ +In this case, the SSH timeout occurs precisely when
│ │ │ │ +the ClientAliveInterval is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │ -.
│ │ │ │ +$ sysctl net.ipv4.conf.default.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ -          <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root login over serial ports is permitted.
│ │ │ │ -      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ -$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -LoginGraceTime 
│ │ │ │ -If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ -after the configured number seconds.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +systemd-journald service:
│ │ │ │ +$ sudo systemctl is-active systemd-journald
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ -
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_LATENT_ENTROPY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -umount2 system call, run the following command:
│ │ │ │ -$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ +clock_settime system call, run the following command:
│ │ │ │ +$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /srv mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/srv\s'
│ │ │ │ -    . . . /srv . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/srv" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the pam_apparmor package is installed: $ dpkg -l  pam_apparmor
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.secure_redirects kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.yama.ptrace_scope kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.secure_redirects
│ │ │ │ -0.
│ │ │ │ +$ sysctl kernel.yama.ptrace_scope
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 disables core dump backtraces by issuing the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │  
│ │ │ │ -$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -ProcessSizeMax=0
│ │ │ │ -      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that rsyslog's Forwarding Output Module is configured
│ │ │ │ -to use TLS for logging to remote server, run the following command:
│ │ │ │ -$ grep omfwd /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should include record similar to
│ │ │ │ -action(type="omfwd" protocol="tcp" Target="&lt;remote system&gt;" port="6514"
│ │ │ │ -    StreamDriver="gtls" StreamDriverMode="1" StreamDriverAuthMode="x509/name" streamdriver.CheckExtendedKeyPurpose="on")
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mce=0, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -where the &lt;remote system&gt; present in the configuration line above must be a valid IP address or a host name of the remote logging server.
│ │ │ │ -      Is it the case that omfwd is not configured with gtls and AuthMode?</ocil:question_text>
│ │ │ │ +Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_error_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODIFY_LDT_SYSCALL /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the root user:
│ │ │ │ +$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ +The output should return an alias.
│ │ │ │ +      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/grub/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ +If the system is 64-bit only, this is not applicable
│ │ │ │ +ocil: |
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +stime system call, run the following command:
│ │ │ │ +$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │            <ocil:question_text>To verify that rsyslog's Forwarding Output Module has CA certificate
│ │ │ │  configured for its TLS connections to remote server, run the following command:
│ │ │ │  $ grep DefaultNetstreamDriverCAFile /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  The output should include record similar to
│ │ │ │  global(DefaultNetstreamDriverCAFile="/etc/pki/tls/cert.pem")
│ │ │ │  where the path to the CA file (/etc/pki/tls/cert.pem in case above) must point to the correct CA certificate.
│ │ │ │        Is it the case that CA certificate for rsyslog remote logging via TLS is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -systemd-journald service:
│ │ │ │ -$ sudo systemctl is-active systemd-journald
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/grub/grub.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_redirects
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ -FAIL_DELAY 
│ │ │ │ -      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ntp service:
│ │ │ │ -$ sudo systemctl is-active ntp
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be no or delayed.
│ │ │ │ -      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │  
│ │ │ │ +To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │  $ grep aide /etc/crontab
│ │ │ │  The output should return something similar to the following:
│ │ │ │ -05 4 * * * root /usr/sbin/aide --check | /bin/mail -s "$(hostname) - AIDE Integrity Check" root@localhost
│ │ │ │ -The email address that the notifications are sent to can be changed by overriding
│ │ │ │ -.
│ │ │ │ -      Is it the case that AIDE has not been configured or has not been configured to notify personnel of scan details?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +05 4 * * * root /usr/sbin/aide --check
│ │ │ │  
│ │ │ │ -$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +NOTE: The usage of special cron times, such as @daily or @weekly, is acceptable.
│ │ │ │ +      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /boot mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/boot\s'
│ │ │ │ +    . . . /boot . . . nosuid . . .
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +      Is it the case that the "/boot" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ +/lib
│ │ │ │ +/lib64
│ │ │ │ +/usr/lib
│ │ │ │ +/usr/lib64
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +To find shared libraries that are group-writable or world-writable,
│ │ │ │ +run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ -For each kernel installed, a line with value should be returned.
│ │ │ │ -If the system architecture is x86_64, the value should be 65536.
│ │ │ │ -If the system architecture is aarch64, the value should be 32768.
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the xinetd package is installed:
│ │ │ │ -$ dpkg -l  xinetd
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ +sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -# grep -i umask /etc/login.defs
│ │ │ │ +   sudo auditctl -l | grep -w '/sbin/rmmod'
│ │ │ │  
│ │ │ │ -UMASK 
│ │ │ │ -      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shells,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shells
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shells does not have a group owner of root?</ocil:question_text>
│ │ │ │ +If the system is configured to audit the execution of the module management program "rmmod",
│ │ │ │ +the command will return a line.
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/grub2/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub2/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +
│ │ │ │ +Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one numeric character be used.
│ │ │ │ -
│ │ │ │ -Check the value for "dcredit" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.core.bpf_jit_harden kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.core.bpf_jit_harden
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -$ sudo grep dcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the local initialization files of all local interactive users are group-
│ │ │ │ +owned by the appropriate user, inspect the primary group of the respective
│ │ │ │ +users in /etc/passwd and verify all initialization files under the
│ │ │ │ +respective users home directory. Check the group owner of all local interactive users
│ │ │ │ +initialization files.
│ │ │ │ +      Is it the case that they are not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the ypserv package is installed:
│ │ │ │ +$ dpkg -l  ypserv
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ +          <ocil:question_text>Display the contents of the file /etc/systemd/logind.conf:
│ │ │ │ +cat /etc/systemd/logind.conf
│ │ │ │ +Ensure that there is a section [login] which contains the
│ │ │ │ +configuration StopIdleSessionSec=.
│ │ │ │ +      Is it the case that the option is not configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /var/log mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ +    . . . /var/log . . . noexec . . .
│ │ │ │  
│ │ │ │ -/etc/security/pwquality.conf:dcredit = 
│ │ │ │ -      Is it the case that the value of "dcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var/log" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_STRICT_KERNEL_WRX /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /var
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │            <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │  
│ │ │ │  $ mountpoint /var/log
│ │ │ │  
│ │ │ │        Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ -run the following command:
│ │ │ │ -cat /etc/securetty
│ │ │ │ -If any output is returned, this is a finding.
│ │ │ │ -      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /boot mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/boot\s'
│ │ │ │ -    . . . /boot . . . nosuid . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLAB_FREELIST_HARDENED /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/boot" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ -          <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ -$ sudo ls -l DBDIR/database_file_name
│ │ │ │ -      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +
│ │ │ │ +If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ +each file specified (and perm=wa should be indicated for each).
│ │ │ │ +      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/System.map*,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/System.map* does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to disable the
│ │ │ │ -ipv6 kernel module, it will contain a line
│ │ │ │ -of the form:
│ │ │ │ -options ipv6 disable=1
│ │ │ │ -Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ -deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ -kernel module (which other parts of the system expect to be present), but
│ │ │ │ -otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ -lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ -/etc/modprobe.conf:
│ │ │ │ -$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the rsyslog-gnutls package is installed:
│ │ │ │ +$ dpkg -l  rsyslog-gnutls
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ -$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ -The DoD requirement is 15.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ipsec.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/gshadow
│ │ │ │ +$ ls -l /etc/ipsec.d
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ -
│ │ │ │ -   sudo auditctl -l | grep -w '/sbin/rmmod'
│ │ │ │ -
│ │ │ │ -If the system is configured to audit the execution of the module management program "rmmod",
│ │ │ │ -the command will return a line.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /boot mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/boot\s'
│ │ │ │ -    . . . /boot . . . noexec . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/boot" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have unix mode 0700?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/gshadow" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the rsh-server package is installed:
│ │ │ │ +$ dpkg -l  rsh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/gshadow)'
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │  
│ │ │ │ --w /etc/gshadow -p wa -k identity
│ │ │ │ +$ mountpoint /var/log/audit
│ │ │ │  
│ │ │ │ -If the command does not return a line, or the line is commented out, this is a finding.
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /usr with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /usr
│ │ │ │ +
│ │ │ │ +      Is it the case that "/usr is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ipsec.conf,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ipsec.conf
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all local initialization files for interactive users are owned by the
│ │ │ │ +primary user, run the following command:
│ │ │ │ +$ sudo ls -al /home/USER/.*
│ │ │ │ +The user initialization files should be owned by USER.
│ │ │ │ +      Is it the case that they are not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one upper-case character.
│ │ │ │ +
│ │ │ │ +Check the value for "ucredit" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ucredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +
│ │ │ │ +ucredit = -1
│ │ │ │ +      Is it the case that the value of "ucredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_XONLY /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how much data the system will retain in each audit log file:
│ │ │ │ +$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ +max_log_file = 6
│ │ │ │ +      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ -      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchmod system call, run the following command:
│ │ │ │ +$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -adm.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ +grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +The output should be similar to the following:
│ │ │ │ +$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +:FORWARD DROP [0:0
│ │ │ │ +      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/ 
│ │ │ │  
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │ +To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/sudoers,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all files and directories in a local interactive user's
│ │ │ │ +home directory have a valid owner, run the following command:
│ │ │ │ +$ sudo ls -lLR /home/USER
│ │ │ │ +      Is it the case that the user ownership is incorrect?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sudoers
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sudoers does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ +pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ +If properly configured, the output should be a list of usernames and/or
│ │ │ │ +groups allowed to log in to this system.
│ │ │ │ +      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/sudoers.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sudoers.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK_BYREF_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo pwck -qr
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ +          <ocil:question_text>First, check whether the password is defined in either /boot/grub/user.cfg or
│ │ │ │ +/boot/grub/grub.cfg.
│ │ │ │ +Run the following commands:
│ │ │ │ +$ sudo grep '^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$' /boot/grub/user.cfg
│ │ │ │ +$ sudo grep '^[\s]*password_pbkdf2[\s]+.*[\s]+grub\.pbkdf2\.sha512.*$' /boot/grub/grub.cfg
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Second, check that a superuser is defined in /boot/grub/grub.cfg.
│ │ │ │ +$ sudo grep '^[\s]*set[\s]+superusers=("?)[a-zA-Z_]+\1$'  /boot/grub/grub.cfg
│ │ │ │ +      Is it the case that it does not produce any output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the pam_apparmor package is installed: $ dpkg -l  pam_apparmor
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/nftables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/nftables
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/nftables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +$ sudo grep openat /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 disables storing core dumps for all users by issuing the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ +/etc/rsyslog.conf.
│ │ │ │ +If using UDP, a line similar to the following should be present:
│ │ │ │ + *.* @
│ │ │ │ +If using TCP, a line similar to the following should be present:
│ │ │ │ + *.* @@
│ │ │ │ +If using RELP, a line similar to the following should be present:
│ │ │ │ + *.* :omrelp:
│ │ │ │ +      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if umask has been configured for sudo with the appropriate value,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep -ri '^Defaults.*umask=' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that umask is not set with the appropriate value for sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │  
│ │ │ │ -$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +Find the location of the audit logs:
│ │ │ │  
│ │ │ │ -Storage=none
│ │ │ │ -      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Find the group that owns audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to check the mode of the system audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +
│ │ │ │ +Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ +      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ -$ rpm -q MFEhiplsm
│ │ │ │ -      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/grub2/grub.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo systemctl is-enabled snmpd
│ │ │ │ +Output should indicate the snmpd service has either not been installed,
│ │ │ │ +or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ +$ sudo systemctl is-enabled snmpd disabled
│ │ │ │ +
│ │ │ │ +Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active snmpd
│ │ │ │ +
│ │ │ │ +If the service is not running the command will return the following output:
│ │ │ │ +inactive
│ │ │ │ +
│ │ │ │ +The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │ +
│ │ │ │ +If the service is masked the command will return the following outputs:
│ │ │ │ +
│ │ │ │ +LoadState=masked
│ │ │ │ +
│ │ │ │ +UnitFileState=masked
│ │ │ │ +      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ +$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ +The DoD requirement is 15.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/sudoers,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ +$ ls -lL /etc/sudoers
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub2/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sudoers does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +apparmor service:
│ │ │ │ +$ sudo systemctl is-active apparmor
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slab_nomerge=yes, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ +          <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ +/bin 
│ │ │ │ +/sbin 
│ │ │ │ +/usr/bin 
│ │ │ │ +/usr/sbin 
│ │ │ │ +/usr/local/bin 
│ │ │ │ +/usr/local/sbin
│ │ │ │ +For each of these directories, run the following command to find directories not
│ │ │ │ +owned by root:
│ │ │ │ +$ sudo find -L $DIR ! -group root -type d -exec chgrp root {} \;
│ │ │ │ +      Is it the case that any of these directories are not group owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.send_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.send_redirects
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.drop_gratuitous_arp kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.drop_gratuitous_arp
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_VMAP_STACK /boot/config.*
│ │ │ │ +    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ +      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │            <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl fs.protected_hardlinks
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_FREELIST_RANDOM /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ +grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ +If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ +      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmodat system call, run the following command:
│ │ │ │ -$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep shutdown
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep poweroff
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/security/opasswd)'
│ │ │ │  
│ │ │ │ --a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ +-w /etc/security/opasswd -p wa -k identity
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ipsec.d,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 is configured to limit the "pwquality" retry option to .
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Check for the use of the "pwquality" retry option in the PAM files with the following command:
│ │ │ │ +
│ │ │ │ +$ grep pam_pwquality /etc/pam.d/common-password
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +password requisite pam_pwquality.so retry=
│ │ │ │ +      Is it the case that the value of "retry" is set to "0" or greater than "&lt;sub idref="var_password_pam_retry" /&gt;", or is missing?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the shadow password suite configuration is set to encrypt password with a FIPS 140-2 approved cryptographic hashing algorithm.
│ │ │ │ +
│ │ │ │ +Check the hashing algorithm that is being used to hash passwords with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i ENCRYPT_METHOD /etc/login.defs
│ │ │ │ +
│ │ │ │ +ENCRYPT_METHOD 
│ │ │ │ +      Is it the case that ENCRYPT_METHOD is not set to &lt;sub idref="var_password_hashing_algorithm" /&gt;?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ + for each element in root's path, run the following command:
│ │ │ │ +# ls -ld DIR
│ │ │ │ +      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/sshd_config,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_rtr_pref
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/chrony.keys,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/chrony.keys
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/chrony.keys does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │  lsetxattr system call, run the following command:
│ │ │ │  $ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_STRICT_MODULE_RWX /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │  $ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │  and
│ │ │ │  $ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │  Both commands should return no output.
│ │ │ │        Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ -$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/nftables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/nftables
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/nftables does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │  
│ │ │ │ -The output should contain overflow_action = syslog
│ │ │ │ +$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ -single, halt or the line is commented out, ask the System Administrator
│ │ │ │ -to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ -      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ -# ls -ld /home/USER
│ │ │ │ -      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_symlinks
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should be
│ │ │ │ +$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ +      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/sysctl.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/sysctl.d
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0755
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/crypttab,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/crypttab
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/crypttab does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │ +$ mountpoint /dev/shm
│ │ │ │  
│ │ │ │ -admin_space_left_action = single
│ │ │ │ +      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>The tftp package can be removed with the following command:  $ apt-get remove tftp
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ +A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ +      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ +$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +LoginGraceTime 
│ │ │ │ +If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ +after the configured number seconds.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include l1tf=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │  
│ │ │ │ --w /var/log/lastlog -p wa -k logins
│ │ │ │ +$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +
│ │ │ │ +-w /var/log/tallylog -p wa -k logins
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ -grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ -The output should return the following:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -[xdmcp]
│ │ │ │ -Enable=false
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/chrony.keys,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/chrony.keys
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0640
│ │ │ │ +      Is it the case that /etc/chrony.keys does not have unix mode 0640?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ +    . . . /tmp . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.pid_max kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.pid_max
│ │ │ │ -65536.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /var/tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ +    . . . /var/tmp . . . noexec . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mds=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mds=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MDS mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /var mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var\s'
│ │ │ │ +    . . . /var . . . noexec . . .
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +      Is it the case that the "/var" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │ +          <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ +$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │  
│ │ │ │ -$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │ +The following command will show files which do not belong to a valid user:
│ │ │ │ +$ sudo find MOUNTPOINT -xdev -nouser 2&gt;/dev/null
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │  
│ │ │ │ -$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │ +No files without a valid user should be located.
│ │ │ │ +      Is it the case that files exist that are not owned by a valid user?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +  sudo auditctl -l | grep -w '/sbin/modprobe'
│ │ │ │ +  -w /sbin/modprobe -p x -k modules
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +It should return a relevant line in the audit rules.
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmep /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │ +    $ grep CONFIG_SCHED_STACK_END_CHECK /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -/usr/sbin
│ │ │ │ -For each of these directories, run the following command to find files
│ │ │ │ -not owned by root:
│ │ │ │ -$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ -      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -iptables service:
│ │ │ │ -$ sudo systemctl is-active iptables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │ +$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/sudoers.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/sudoers.d
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0750
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have unix mode 0750?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 limits the number of concurrent sessions to
│ │ │ │ -"" for all
│ │ │ │ -accounts and/or account types with the following command:
│ │ │ │ -$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ -/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ -This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ -      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ -than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ -is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ -operational requirement for all domains that have the "maxlogins" item
│ │ │ │ -assigned'?</ocil:question_text>
│ │ │ │ +session [default=1] pam_lastlog.so showfailed
│ │ │ │ +      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the sendmail package is installed:
│ │ │ │ -$ dpkg -l  sendmail
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/nftables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/nftables
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/nftables does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ +$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ +No output should be returned.
│ │ │ │ +      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ +          <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ +/bin 
│ │ │ │ +/sbin 
│ │ │ │ +/usr/bin 
│ │ │ │ +/usr/sbin 
│ │ │ │ +/usr/local/bin 
│ │ │ │ +/usr/local/sbin
│ │ │ │ +For each of these directories, run the following command to find directories not
│ │ │ │ +owned by root:
│ │ │ │ +$ sudo find -L $DIR ! -user root -type d
│ │ │ │ +      Is it the case that any of these directories are not owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$  sudo auditctl -l | grep -E '(/etc/shadow)'
│ │ │ │ +
│ │ │ │ +-w /etc/shadow -p wa -k identity
│ │ │ │ +      Is it the case that command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>The rsh package can be removed with the following command:  $ apt-get remove rsh
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/sudoers,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/sudoers
│ │ │ │ +$ ls -l /etc/ssh/*_key
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ -0440
│ │ │ │ -      Is it the case that /etc/sudoers does not have unix mode 0440?</ocil:question_text>
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │ +    $ grep CONFIG_SLAB_FREELIST_RANDOM /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_EMULATE /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chrony service:
│ │ │ │ -$ sudo systemctl is-active chrony
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -
│ │ │ │ -
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the telnet-server package is installed:
│ │ │ │ +$ dpkg -l  telnet-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /srv mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/srv\s'
│ │ │ │ +    . . . /srv . . . nosuid . . .
│ │ │ │  
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ntpd service:
│ │ │ │ -$ sudo systemctl is-active ntpd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/srv" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/nftables,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +write_logs = yes
│ │ │ │ +      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/grub/grub.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/nftables
│ │ │ │ +$ ls -lL /boot/grub/grub.cfg
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/nftables does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the setroubleshoot-plugins package is installed:
│ │ │ │ -$ dpkg -l  setroubleshoot-plugins
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_FORTIFY_SOURCE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │  The command should return no output.
│ │ │ │ -      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ -
│ │ │ │ -   sudo auditctl -l | grep -w '/sbin/insmod'
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/
│ │ │ │  
│ │ │ │ -If the system is configured to audit the execution of the module management program "insmod",
│ │ │ │ -the command will return a line.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ipsec.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how many logs the system is configured to retain after rotation:
│ │ │ │ +$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ +num_logs = 5
│ │ │ │ +      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ipsec.secrets,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.conf
│ │ │ │ +$ ls -lL /etc/ipsec.secrets
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chronyd service:
│ │ │ │ -$ sudo systemctl is-active chronyd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -adjtimex system call, run the following command:
│ │ │ │ -$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.kptr_restrict
│ │ │ │ +The output of the command should indicate either:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +The output of the command should not indicate:
│ │ │ │ +kernel.kptr_restrict = 0
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces a minimum -character password length with the following command:
│ │ │ │ +The preferable way how to assure the runtime compliance is to have
│ │ │ │ +correct persistent configuration, and rebooting the system.
│ │ │ │  
│ │ │ │ -$ grep minlen /etc/security/pwquality.conf
│ │ │ │ +The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ +assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ +Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ +$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ +The command should not find any assignments other than:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │  
│ │ │ │ -minlen = 
│ │ │ │ -      Is it the case that the command does not return a "minlen" value of "&lt;sub idref="var_password_pam_minlen" /&gt;" or greater, does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +Conflicting assignments are not allowed.
│ │ │ │ +      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lchown system call, run the following command:
│ │ │ │ -$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ +/etc/passwd, run the following command:
│ │ │ │ +awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ +If it produces any output, then a password hash is
│ │ │ │ +stored in /etc/passwd.
│ │ │ │ +      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the password reuse setting is compliant, run the following command:
│ │ │ │ +$ grep remember /etc/pam.d/common-password
│ │ │ │ +The output should show the following at the end of the line:
│ │ │ │ +remember=
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +
│ │ │ │ +In newer systems, the pam_pwhistory PAM module options can also be set in
│ │ │ │ +"/etc/security/pwhistory.conf" file. Use the following command to verify:
│ │ │ │ +$ grep remember /etc/security/pwhistory.conf
│ │ │ │ +remember = 
│ │ │ │ +
│ │ │ │ +The pam_pwhistory remember option must be configured only in one file.
│ │ │ │ +      Is it the case that the value of remember is not equal to or greater than the expected value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /home mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/home\s'
│ │ │ │ -    . . . /home . . . noexec . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/home" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -adm
│ │ │ │ -      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchownat system call, run the following command:
│ │ │ │ -$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ -$ grep relayhost /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that Debian 12 verifies correct operation of security functions.
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +$ sudo getenforce
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one numeric character be used.
│ │ │ │  
│ │ │ │ -$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +Check the value for "dcredit" with the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo grep dcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +/etc/security/pwquality.conf:dcredit = 
│ │ │ │ +      Is it the case that the value of "dcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ +architecture, and socket address information before writing the event to disk,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +log_format = ENRICHED
│ │ │ │ +      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /srv
│ │ │ │ +$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +space_left_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ipsec.conf,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.conf
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the dhcp package is installed:
│ │ │ │ +$ dpkg -l  dhcp
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ +$ rpm -q MFEhiplsm
│ │ │ │ +      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ +          <ocil:question_text>Check whether the maximum time period for root account password is restricted to  days with the following commands:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ +$ sudo awk -F: '$1 == "root" {print $1 " " $5}' /etc/shadow
│ │ │ │ +      Is it the case that any results are returned that are not associated with a system account?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ +$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ +If the plugin is active, the output will show yes.
│ │ │ │ +      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ -
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ +following command:
│ │ │ │ +$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ +root
│ │ │ │ +      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ +          <ocil:question_text>The following command will discover and print world-writable directories that
│ │ │ │ +are not owned by root. Run it once for each local partition PART:
│ │ │ │ +$ sudo find PART -xdev -type d -perm -0002 -uid +0 -print
│ │ │ │ +      Is it the case that there are world-writable directories not owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating INFO is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ -$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ -The DoD requirement is 7.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │ +.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.sysrq kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.accept_redirects
│ │ │ │ +$ sysctl kernel.sysrq
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ +          <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ +$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +
│ │ │ │ +The following command will show files which do not belong to a valid group:
│ │ │ │ +$ sudo find MOUNTPOINT -xdev -nogroup 2&gt;/dev/null
│ │ │ │ +
│ │ │ │ +Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │ +
│ │ │ │ +No files without a valid group should be located.
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_XONLY /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ +$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ +The output should return root.
│ │ │ │ +      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.perf_cpu_time_max_percent kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.perf_cpu_time_max_percent
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep init
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +          <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │  
│ │ │ │ --a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ dpkg -s openssh-server | grep Version
│ │ │ │ +
│ │ │ │ +Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be Protocol 2
│ │ │ │ +      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +local_events = yes
│ │ │ │ +      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/messages
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ -          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │  
│ │ │ │ -Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │ +    $ grep CONFIG_FORTIFY_SOURCE /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /tmp
│ │ │ │ -
│ │ │ │ -      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.yama.ptrace_scope kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_pinfo kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.yama.ptrace_scope
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_pinfo
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>The tftp package can be removed with the following command:  $ apt-get remove tftp
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.secure_redirects kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/shells,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shells
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shells does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/grub/grub.cfg, run the command:
│ │ │ │ +$ sudo ls -lL /boot/grub/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following
│ │ │ │ +permissions: -rw-------
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_pinfo kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.secure_redirects
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_pinfo
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/grub2/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /boot/grub2/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │            <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │  $ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │  and verify that the line matches
│ │ │ │  Match final all
│ │ │ │  RekeyLimit 512M 1h
│ │ │ │  GSSAPIAuthentication no
│ │ │ │  Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │  PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │  MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │  KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │        Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ -/etc/rsyslog.conf.
│ │ │ │ -If using UDP, a line similar to the following should be present:
│ │ │ │ - *.* @
│ │ │ │ -If using TCP, a line similar to the following should be present:
│ │ │ │ - *.* @@
│ │ │ │ -If using RELP, a line similar to the following should be present:
│ │ │ │ - *.* :omrelp:
│ │ │ │ -      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/sestatus.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sestatus.conf
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +syslog
│ │ │ │ +      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the number of rounds for the password hashing algorithm is configured, run the following command:
│ │ │ │ +$ sudo grep rounds /etc/pam.d/common-password
│ │ │ │ +The output should show the following match:
│ │ │ │ + 
│ │ │ │ +password [sucess=1 default=ignore] pam_unix.so sha512 rounds=
│ │ │ │ +      Is it the case that rounds is not set to &lt;sub idref="var_password_pam_unix_rounds" /&gt; or is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ +$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ +For each kernel installed, a line with value should be returned.
│ │ │ │ +If the system architecture is x86_64, the value should be 65536.
│ │ │ │ +If the system architecture is aarch64, the value should be 32768.
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ +alter time via the /etc/localtime file, run the following
│ │ │ │ +command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +adm
│ │ │ │ +      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories are group-owned by "root", or a required system account, with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin ! -group root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are returned and is not group-owned by a required system account?</ocil:question_text>
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ip6tables service:
│ │ │ │ +$ sudo systemctl is-active ip6tables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that all user initialization files have a mode of 0740 or
│ │ │ │ +less permissive, run the following command:
│ │ │ │ +$ sudo find /home -type f -name '\.*' \( -perm -0002 -o -perm -0020 \)
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that they are not 0740 or more permissive?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include page_alloc.shuffle=1, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*page_alloc.shuffle=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that randomization of the page allocator is not enabled in the kernel?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /opt with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /opt
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that "/opt is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ -architecture, and socket address information before writing the event to disk,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -log_format = ENRICHED
│ │ │ │ -      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep open /etc/audit/audit.rules
│ │ │ │ -
│ │ │ │ -The output should be the following:
│ │ │ │ -
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ -to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ -rules:
│ │ │ │ -
│ │ │ │ -FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ -for PARTITION in $PARTITIONS; do
│ │ │ │ -  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ -    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ -      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ -  done
│ │ │ │ -done
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_fifos kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_fifos
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -The output should not contain any WARNING.
│ │ │ │ -      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /home mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/home\s'
│ │ │ │ +    . . . /home . . . noexec . . .
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ -          <ocil:question_text>Display the contents of the file /etc/systemd/logind.conf:
│ │ │ │ -cat /etc/systemd/logind.conf
│ │ │ │ -Ensure that there is a section [login] which contains the
│ │ │ │ -configuration StopIdleSessionSec=.
│ │ │ │ -      Is it the case that the option is not configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if env_reset has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\benv_reset\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that env_reset is not enabled in sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ -or scripts within /etc/profile.d directory with the following command:
│ │ │ │ -$ grep "umask" /etc/profile*
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ -or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/home" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ -grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ -If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ -      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/sudoers,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sudoers
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sudoers does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │        </ocil:questions>
│ │ │ │      </ocil:ocil>
│ │ │ │    </ds:component>
│ │ │ │    <ds:component id="scap_org.open-scap_comp_ssg-debian12-cpe-oval.xml" timestamp="2025-03-01T08:08:00">
│ │ │ │      <oval-def:oval_definitions xsi:schemaLocation="http://oval.mitre.org/XMLSchema/oval-common-5 oval-common-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5 oval-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#independent independent-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#unix unix-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#linux linux-definitions-schema.xsd">
│ │ │ │        <oval-def:generator>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-ocil.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-ocil.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -3,4913 +3,4913 @@
│ │ │ │    <ocil:generator>
│ │ │ │      <ocil:product_name>build_shorthand.py from SCAP Security Guide</ocil:product_name>
│ │ │ │      <ocil:product_version>ssg: 0.1.76</ocil:product_version>
│ │ │ │      <ocil:schema_version>2.0</ocil:schema_version>
│ │ │ │      <ocil:timestamp>2025-03-01T08:08:00</ocil:timestamp>
│ │ │ │    </ocil:generator>
│ │ │ │    <ocil:questionnaires>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_periodic_checking_systemd_timer_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Systemd Timer Execution of AIDE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/crypttab File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Accepting ICMP Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_sshd_config_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Owner on SSH Server config file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set number of Password Hashing Rounds - password-auth</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Use TCP RFC 1337 on IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_lcredit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Lowercase Characters</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_lcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_env_reset_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure sudo Runs In A Minimal Environment - sudo env_reset</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_env_reset_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_strong_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Strong Stack Protector</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall ypserv Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_system_commands_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that system commands files are group owned by root or a system account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_ypserv_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_telnet_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove telnet Clients</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_network_listening_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Postfix Network Listening</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_telnet_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_network_listening_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_systemmap_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns System.map Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_root_owned_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All World-Writable Directories Are Owned by root User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_paranoid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow kernel profiling by unprivileged users</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden memory copies between kernel and userspace</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Auto Configuration on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify the UEFI Boot Loader grub.cfg Group Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shells_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /etc/shells File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub2/user.cfg Group Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_sysrq_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow magic SysRq key</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_sysrq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_page_alloc_shuffle_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable randomization of the page allocator</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall Sendmail Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_sendmail_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_fifos_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on FIFOs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_opasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/security/opasswd</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_tmout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Interactive Session Timeout</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_tmout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /var/tmp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Access to Network bpf() Syscall From Unprivileged Processes</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_forward_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for IP Forwarding on IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the cron service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable cron Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sebool_polyinstantiation_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure the polyinstantiation_enabled SELinux Boolean</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable PAM</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable different security models</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall setroubleshoot-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Use TCP Syncookies on Network Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable cron Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_slub_debug_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SLUB/SLAB allocator poisoning</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_slub_debug_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_on_data_corruption_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Trigger a kernel BUG when data corruption is detected</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_user_dot_group_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>User Initialization Files Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_kmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - kmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/shadow</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_dedicated_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure a dedicated group owns sudo</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_dedicated_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/sestatus.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minclass_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Different Categories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minclass_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All User Files and Directories In The Home Directory Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_vm_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent applications from mapping low portion of virtual memory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shells_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Who Owns /etc/shells File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_vmap_stack_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>User a virtually-mapped stack</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_vmap_stack_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/user.cfg Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_wx_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Warn on W+X mappings found at boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_wx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_sshd_config_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns SSH Server config file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_pti_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Page-Table Isolation (KPTI)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_pti_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_kea_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall kea Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_kea_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_modules_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable loading and unloading of kernel modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove NIS Client</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_ypbind_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_permissions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All User Files and Directories In The Home Directory Must Have Mode 0750 Or Less Permissive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/grub.cfg Group Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-timer_logrotate_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable logrotate Timer</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-timer_logrotate_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>zero-init everything passed by reference</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_sudo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - sudo</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_periodic_checking_systemd_timer_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Systemd Timer Execution of AIDE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_remember_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit Password Reuse</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nodev Option to Non-Root Local Partitions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_page_poison_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable page allocator poisoning</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_page_poison_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_permissions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All User Files and Directories In The Home Directory Must Have Mode 0750 Or Less Permissive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/selinux Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the cron service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All User Files and Directories In The Home Directory Must Have a Valid Owner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Generate some entropy during boot and runtime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall xinetd Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_xinetd_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/sudoers.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/crypttab File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_set_max_life_root_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Root Account Password Maximum Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_set_max_life_root_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_slub_debug_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SLUB/SLAB allocator poisoning</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_slub_debug_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall telnet-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_telnet-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_regular_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Regular files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_regular_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permission_user_init_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All User Initialization Files Have Mode 0740 Or Less Permissive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permission_user_init_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install pam_pwquality Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_pam_pwquality_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_bashrc_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Bash Umask is Set Correctly</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_boot_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_boot_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_talk_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall talk Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_talk_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Drop Gratuitious ARP frames on All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All User Files and Directories In The Home Directory Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Access to Kernel Message Buffer</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable hibernation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_opt_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /opt</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_opt_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_boot_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /boot Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_pid_max_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure maximum number of process identifiers</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_boot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_pid_max_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Emulate Privileged Access Never (PAN)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_systemmap_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns System.map Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install AIDE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/grub.cfg Group Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/ipsec.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/crypttab File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the ntp service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_log_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /var/log</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_log_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable poison of pages after freeing</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ocredit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Special Characters</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ocredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_deny_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Lock Accounts After Failed Password Attempts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/user.cfg User Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall DHCP Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_dhcp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_boot_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /boot Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_boot_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit sampling frequency of the Perf system</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_usr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /usr Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_usr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_modify_ldt_syscall_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the LDT (local descriptor table)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_ungroupowned_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All Files Are Owned by a Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/tmp Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_ungroupowned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_uefi_password_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set the UEFI Boot Loader Password</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_uefi_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Kernel Parameter to Increase Local Port Range</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_periodic_cron_checking_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Periodic Execution of AIDE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_periodic_cron_checking_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_mds_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Microarchitectural Data Sampling mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_mds_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /tmp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-security_patches_up_to_date_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Software Patches Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/user.cfg Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-security_patches_up_to_date_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/user.cfg User Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_verify_acls_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure AIDE to Verify Access Control Lists (ACLs)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_verify_acls_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_files_unowned_by_user_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All Files Are Owned by a User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_files_unowned_by_user_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_randstruct_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize layout of sensitive kernel structures</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_systemmap_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns System.map Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_config_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server config file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_ignore_dot_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure sudo Ignores Commands In Current Dir - sudo ignore_dot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_ignore_dot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_sched_stack_end_check_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Detect stack corruption on calls to schedule()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall setroubleshoot-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Accepting ICMP Redirects for All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_chronyd_or_ntpd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_telnet_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove telnet Clients</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_telnet_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall setroubleshoot-plugins Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_verify_ext_attributes_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure AIDE to Verify Extended Attributes</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_verify_ext_attributes_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Stack Protector buffer overlow detection</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install AIDE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/tmp Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /var</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_home_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /home</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_home_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ocredit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Special Characters</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minlen_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Length</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ocredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minlen_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_interval_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Interval For Counting Failed Password Attempts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_kea_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall kea Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_kea_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub2/user.cfg Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_ignore_dot_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure sudo Ignores Commands In Current Dir - sudo ignore_dot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_ignore_dot_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /var/tmp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/nftables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/iptables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-apparmor_configured_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure AppArmor is Active and Configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_sudo_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install sudo Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-apparmor_configured_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_sudo_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_kmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - kmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/user.cfg Group Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install pam_pwquality Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_pam_pwquality_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Auto Configuration on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall tftp-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_tftp-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Secure ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_sudo_log_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to perform maintenance activities</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_sudo_log_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sebool_polyinstantiation_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure the polyinstantiation_enabled SELinux Boolean</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /tmp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Ignore Bogus ICMP Error Responses on IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_hardened_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden slab freelist metadata</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Kernel Parameter to Increase Local Port Range</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify the UEFI Boot Loader grub.cfg User Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Auto Configuration on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Access to Network bpf() Syscall From Unprivileged Processes</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_refcount_full_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Perform full reference count validation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_refcount_full_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden memory copies between kernel and userspace</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_none_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable vsyscall mapping</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_scan_notification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Notification of Post-AIDE Scan Details</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_scan_notification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/chrony.keys File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Emulate Privileged Access Never (PAN)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_wx_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Warn on W+X mappings found at boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_wx_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_pti_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Page-Table Isolation (KPTI)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_pti_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/sudoers File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_on_data_corruption_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Trigger a kernel BUG when data corruption is detected</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_none_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable vsyscall mapping</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_sudo_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install sudo Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_sudo_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_regular_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Regular files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_regular_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shells_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/shells File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify the UEFI Boot Loader grub.cfg Group Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_merge_default_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow merge of slab caches</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_merge_default_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_forward_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for IP Forwarding on IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_stackleak_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Poison kernel stack before returning from syscalls</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/grub.cfg Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall talk-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /tmp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_talk-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_opt_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /opt Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_opt_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Use TCP RFC 1337 on IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/passwd</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_fallback_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do not allow usercopy whitelist violations to fallback to object size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsh_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall rsh Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsh_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_refcount_full_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Perform full reference count validation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_insmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - insmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_refcount_full_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_tmout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Interactive Session Timeout</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_tmout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_dedicated_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure a dedicated group owns sudo</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_dedicated_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_strict_kernel_rwx_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Make the kernel text and rodata read-only</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Access to Kernel Message Buffer</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_paranoid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow kernel profiling by unprivileged users</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit CPU consumption of the Perf system</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/crypttab File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-security_patches_up_to_date_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Software Patches Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-security_patches_up_to_date_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Accepting ICMP Redirects for All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Lockout Time for Failed Password Attempts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_modprobe_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - modprobe</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/ipsec.secrets File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /var</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_sudo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - sudo</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_lcredit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Lowercase Characters</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_lcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/sestatus.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the ntp service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall tftp-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_tftp-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure TLS for rsyslog remote logging</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Ignore Bogus ICMP Error Responses on IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_stackleak_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Poison kernel stack before returning from syscalls</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv6 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_verify_ext_attributes_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure AIDE to Verify Extended Attributes</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_verify_ext_attributes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_uefi_password_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set the UEFI Boot Loader Password</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify the UEFI Boot Loader grub.cfg Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_uefi_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_sshd_config_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns SSH Server config file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall talk-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_talk-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_modules_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable loading and unloading of kernel modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Auto Configuration on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-timer_logrotate_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable logrotate Timer</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/gshadow</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-timer_logrotate_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_randstruct_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize layout of sensitive kernel structures</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable poison of pages after freeing</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable vsyscall emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_strong_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Strong Stack Protector</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_verify_acls_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure AIDE to Verify Access Control Lists (ACLs)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub2/user.cfg User Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_verify_acls_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_fallback_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do not allow usercopy whitelist violations to fallback to object size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_system_commands_root_owned_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that system commands directories have root ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_log_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /var/log</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_system_commands_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_log_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall rsh-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_umask_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure sudo umask is appropriate - sudo umask</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_umask_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_interval_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Interval For Counting Failed Password Attempts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Lockout Time for Failed Password Attempts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_password_hashing_algorithm_logindefs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Hashing Algorithm in /etc/login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Kernel Parameter for Accepting Secure Redirects By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_user_dot_user_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>User Initialization Files Must Be Owned By the Primary User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Use TCP Syncookies on Network Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_log_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /var/log</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_log_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_password_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Boot Loader Password in grub2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/sudoers File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ucredit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Uppercase Characters</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_page_poison_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable page allocator poisoning</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ucredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_page_poison_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/passwd</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /var/tmp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_vm_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent applications from mapping low portion of virtual memory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/crypttab File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/selinux Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minclass_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Different Categories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shells_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /etc/shells File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minclass_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_core_bpf_jit_harden_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden the operation of the BPF just-in-time compiler</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_talk_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall talk Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_talk_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_opt_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /opt</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_opt_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv4 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_system_commands_group_root_owned_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that system commands directories have root as a group owner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure rsyslog-gnutls is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Generate some entropy during boot and runtime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the pam_apparmor Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_pam_apparmor_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict usage of ptrace to descendant processes</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_retry_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Authentication Retry Prompts Permitted Per-Session</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_retry_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove NIS Client</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_ypbind_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_modify_ldt_syscall_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the LDT (local descriptor table)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/user.cfg Group Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_deny_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Lock Accounts After Failed Password Attempts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/iptables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_cacert_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure CA certificate for rsyslog remote logging</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Yama support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_periodic_cron_checking_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Periodic Execution of AIDE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_periodic_cron_checking_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_bashrc_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Bash Umask is Set Correctly</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_boot_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_boot_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_sudo_log_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to perform maintenance activities</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_sudo_log_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub2/user.cfg Group Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_rmmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - rmmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nodev Option to Non-Root Local Partitions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_core_bpf_jit_harden_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden the operation of the BPF just-in-time compiler</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force initialization of variables containing userspace addresses</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_user_dot_group_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>User Initialization Files Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall ypserv Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_ypserv_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-logind_session_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Logind to terminate idle sessions after certain time of inactivity</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-logind_session_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit sampling frequency of the Perf system</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_log_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /var/log</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_log_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Yama support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_merge_default_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow merge of slab caches</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_strict_kernel_rwx_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Make the kernel text and rodata read-only</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_merge_default_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify the UEFI Boot Loader grub.cfg Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_hardened_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden slab freelist metadata</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_network_listening_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Postfix Network Listening</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_systemmap_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns System.map Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_network_listening_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_home_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /home</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure rsyslog-gnutls is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_home_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_config_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server config file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/ipsec.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Accepting ICMP Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall rsh-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_usr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /usr Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_usr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_strict_module_rwx_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Make the module text and rodata read-only</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_user_dot_user_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>User Initialization Files Must Be Owned By the Primary User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /var</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ucredit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Uppercase Characters</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ucredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All User Files and Directories In The Home Directory Must Have a Valid Owner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_srv_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /srv</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_srv_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Kernel Parameter for Accepting Secure Redirects By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure TLS for rsyslog remote logging</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable hibernation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_password_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Boot Loader Password in grub2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_cacert_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure CA certificate for rsyslog remote logging</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force initialization of variables containing userspace addresses</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/grub.cfg User Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_umask_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure sudo umask is appropriate - sudo umask</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_umask_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_scan_notification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Notification of Post-AIDE Scan Details</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_scan_notification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/sudoers File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall xinetd Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-apparmor_configured_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure AppArmor is Active and Configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_xinetd_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-apparmor_configured_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shells_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/shells File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_system_commands_group_root_owned_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that system commands directories have root as a group owner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub2/user.cfg User Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Drop Gratuitious ARP frames on All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_dcredit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Digit Characters</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_dcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_boot_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_boot_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_opasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/security/opasswd</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_retry_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Authentication Retry Prompts Permitted Per-Session</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_retry_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_password_hashing_algorithm_logindefs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Hashing Algorithm in /etc/login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_rmmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - rmmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_sshd_config_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Owner on SSH Server config file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_boot_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_boot_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/gshadow</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/ipsec.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_strict_module_rwx_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Make the module text and rodata read-only</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable vsyscall emulate execution only</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/sudoers File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/sysctl.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/crypttab File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>zero-init everything passed by reference</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the pam_apparmor Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_tftp_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove tftp Daemon</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_pam_apparmor_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_tftp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/nftables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify the UEFI Boot Loader grub.cfg User Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_vmap_stack_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>User a virtually-mapped stack</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_vmap_stack_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/chrony.keys File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_random_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize slab freelist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /tmp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /var/tmp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_mds_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Microarchitectural Data Sampling mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_mds_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /var</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_files_unowned_by_user_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All Files Are Owned by a User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_files_unowned_by_user_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_modprobe_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - modprobe</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_sched_stack_end_check_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Detect stack corruption on calls to schedule()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable different security models</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_pid_max_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure maximum number of process identifiers</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_system_commands_root_owned_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that system commands directories have root ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_pid_max_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_system_commands_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/shadow</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsh_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall rsh Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsh_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_random_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize slab freelist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable vsyscall emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall telnet-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_telnet-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_srv_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /srv</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_srv_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall Sendmail Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/grub.cfg User Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_sendmail_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/sudoers File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_remember_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit Password Reuse</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_chronyd_or_ntpd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable PAM</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall setroubleshoot-plugins Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_fortify_source_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden common str/mem functions against buffer overflows</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_fortify_source_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_dcredit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Digit Characters</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_dcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_insmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - insmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall DHCP Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_dhcp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minlen_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Length</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minlen_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_home_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /home</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_set_max_life_root_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Root Account Password Maximum Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_home_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_set_max_life_root_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_root_owned_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All World-Writable Directories Are Owned by root User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_sysrq_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow magic SysRq key</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_sysrq_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_ungroupowned_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All Files Are Owned by a Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_ungroupowned_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable vsyscall emulate execution only</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit CPU consumption of the Perf system</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_fortify_source_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden common str/mem functions against buffer overflows</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_fortify_source_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict usage of ptrace to descendant processes</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_tftp_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove tftp Daemon</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shells_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Who Owns /etc/shells File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_tftp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Secure ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/grub.cfg Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub2/user.cfg Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_system_commands_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that system commands files are group owned by root or a system account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set number of Password Hashing Rounds - password-auth</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_opt_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /opt Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_opt_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permission_user_init_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All User Initialization Files Have Mode 0740 Or Less Permissive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permission_user_init_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_page_alloc_shuffle_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable randomization of the page allocator</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-logind_session_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Logind to terminate idle sessions after certain time of inactivity</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-logind_session_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_env_reset_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure sudo Runs In A Minimal Environment - sudo env_reset</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_fifos_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on FIFOs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_env_reset_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_home_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /home</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_home_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/sudoers File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │    </ocil:questionnaires>
│ │ │ │    <ocil:test_actions>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1" question_ref="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_lcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_env_reset_action:testaction:1" question_ref="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_ypserv_removed_action:testaction:1" question_ref="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1" question_ref="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_telnet_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_network_listening_disabled_action:testaction:1" question_ref="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_sysrq_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_sendmail_removed_action:testaction:1" question_ref="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_tmout_action:testaction:1" question_ref="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1" question_ref="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slub_debug_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_dedicated_group_action:testaction:1" question_ref="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minclass_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_vmap_stack_action:testaction:1" question_ref="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_wx_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_pti_argument_action:testaction:1" question_ref="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_kea_removed_action:testaction:1" question_ref="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_ypbind_removed_action:testaction:1" question_ref="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_permissions_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-timer_logrotate_enabled_action:testaction:1" question_ref="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1" question_ref="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1" question_ref="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_poison_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_permissions_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_xinetd_removed_action:testaction:1" question_ref="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_set_max_life_root_action:testaction:1" question_ref="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slub_debug_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_telnet-server_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_regular_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permission_user_init_files_action:testaction:1" question_ref="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_pam_pwquality_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_talk_removed_action:testaction:1" question_ref="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_opt_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_boot_action:testaction:1" question_ref="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_pid_max_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1" question_ref="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ �

TRUNCATED DUE TO SIZE LIMIT: 10485760 bytes